Det kinesiske firma Zoetop, tidligere ejer af de vildt populære SHEIN og ROMWE "fast fashion" mærker, er blevet idømt en bøde på 1,900,000 $ af staten New York.
Som justitsminister Letitia James Læg det i en udtalelse i sidste uge:
SHEIN og ROMWEs svage digitale sikkerhedsforanstaltninger gjorde det nemt for hackere at stjæle forbrugernes personlige data.
Som om det ikke var slemt nok, fortsatte James med at sige:
[P]personlige data blev stjålet, og Zoetop forsøgte at dække over det. At undlade at beskytte forbrugernes personlige data og lyve om det er ikke trendy. SHEIN og ROMWE skal skærpe deres cybersikkerhedsforanstaltninger for at beskytte forbrugerne mod svindel og identitetstyveri.
Helt ærligt er vi overraskede over, at Zoetop (nu SHEIN Distribution Corporation i USA) slap så let, i betragtning af virksomhedens størrelse, rigdom og brandstyrke, dens tilsyneladende mangel på selv grundlæggende forholdsregler, der kunne have forhindret eller reduceret faren. af bruddet, og dets fortsatte uærlighed i håndteringen af bruddet, efter at det blev kendt.
Brud opdaget af udenforstående
Ifølge på kontoret for justitsministeren i New York, bemærkede Zoetop ikke engang bruddet, som skete i juni 2018, af sig selv.
I stedet fandt Zoetops betalingsprocessor ud af, at virksomheden var blevet brudt, efter svindelrapporter fra to kilder: et kreditkortselskab og en bank.
Kreditkortselskabet stødte på SHEIN-kunders kortdata til salg på et underjordisk forum, hvilket tyder på, at dataene var blevet indsamlet i bulk fra virksomheden selv eller en af dets it-partnere.
Og banken identificerede SHEIN (udtales "she in", hvis du ikke havde fundet ud af det allerede, ikke "shine") for at være det, der er kendt som en CPP i betalingshistorikken for adskillige kunder, der var blevet svindlet.
CPP er en forkortelse for fælles indkøbssted, og betyder præcis, hvad der står: hvis 100 kunder uafhængigt rapporterer svindel mod deres kort, og hvis den eneste almindelige købmand, som alle 100 kunder for nylig har foretaget betalinger til, er firma X...
…så har du indicier for, at X er en sandsynlig årsag til "svindeludbruddet", på samme måde som den banebrydende britiske epidemiolog John Snow sporede et koleraudbrud i London i 1854 tilbage til en forurenet vandpumpe i Broad Street, Soho.
Snows arbejde var med til at afvise ideen om, at sygdomme blot "spredes gennem dårlig luft"; etablerede "kimteori" som en medicinsk realitet og revolutionerede tænkningen om folkesundhed. Han viste også, hvordan objektiv måling og test kunne hjælpe med at forbinde årsager og virkninger og dermed sikre, at fremtidige forskere ikke spildte tid på at komme med umulige forklaringer og søge ubrugelige "løsninger".
Tog ikke forholdsregler
Det er ikke overraskende, da virksomheden fandt ud af bruddet brugt, at New York-undersøgelsen kritiserede virksomheden for ikke at genere cybersikkerhedsovervågning, da den "ikke kørte regelmæssige eksterne sårbarhedsscanninger eller regelmæssigt overvåget eller gennemgået revisionslogfiler for at identificere sikkerhedshændelser."
Undersøgelsen rapporterede også, at Zoetop:
- Hashed brugeradgangskoder på en måde, der anses for at være for let at knække. Tilsyneladende bestod password hashing i at kombinere brugerens adgangskode med et tocifret tilfældigt salt, efterfulgt af en iteration af MD5. Rapporter fra entusiaster om adgangskodeknækning tyder på, at en selvstændig 8-GPU-krakningsrig med 2016-hardware kunne cirkulere gennem 200,000,000,000 MD5'er i sekundet dengang (saltet tilføjer typisk ikke nogen ekstra beregningstid). Det svarer til at prøve næsten 20 kvadrillioner adgangskoder om dagen ved hjælp af kun én computer til specielle formål. (Dagens MD5-krakningshastigheder er tilsyneladende omkring fem til ti gange hurtigere end det, ved brug af nyere grafikkort.)
- Loggede data hensynsløst. For transaktioner, hvor der opstod en eller anden form for fejl, gemte Zoetop hele transaktionen i en fejlretningslog, der tilsyneladende inkluderede alle kreditkortoplysninger (vi antager, at dette inkluderede sikkerhedskoden såvel som langt nummer og udløbsdato). Men selv efter at selskabet vidste om bruddet, forsøgte selskabet ikke at finde ud af, hvor det kunne have gemt denne form for useriøse betalingskortdata i sine systemer.
- Kunne ikke være generet med en hændelsesplan. Virksomheden undlod ikke kun at have en cybersikkerhedsreaktionsplan, før bruddet skete, det brød sig tilsyneladende ikke at komme med en efterfølgende, og undersøgelsen sagde, at det "undlod at træffe rettidig handling for at beskytte mange af de berørte kunder."
- Lidt af en spyware-infektion i sit betalingsbehandlingssystem. Som undersøgelsen forklarede, "enhver eksfiltration af betalingskortdata ville [således] være sket ved at opsnappe kortdata på købsstedet." Som du kan forestille dig, i betragtning af manglen på en hændelsesresponsplan, var virksomheden ikke efterfølgende i stand til at fortælle, hvor godt denne datatyverende malware havde fungeret, selvom det faktum, at kundernes kortoplysninger dukkede op på det mørke web, tyder på, at angriberne var vellykket.
Sagde ikke sandheden
Virksomheden blev også grundigt kritiseret for sin uærlighed i, hvordan den håndterede kunder, efter at den kendte omfanget af angrebet.
For eksempel virksomheden:
- Udtalte, at 6,420,000 brugere (dem der faktisk havde afgivet ordrer) var berørt, selvom den vidste, at 39,000,000 brugerkontoregistreringer, inklusive disse uhensigtsmæssigt-hashed-adgangskoder, blev stjålet.
- Sagde, at det havde kontaktet de 6.42 millioner brugere, da det faktisk kun var brugere i Canada, USA og Europa, der blev informeret.
- Fortalte kunder, at det ikke havde "ingen bevis for, at dine kreditkortoplysninger blev taget fra vores systemer", på trods af at de er blevet advaret om bruddet af to kilder, der fremlagde beviser, der kraftigt tyder på netop det.
Virksomheden har tilsyneladende også forsømt at nævne, at den vidste, at den havde været udsat for en malware-infektion, der stjal data og ikke havde været i stand til at fremlægge beviser for, at angrebet intet havde givet.
Den afslørede heller ikke, at den nogle gange bevidst gemte alle kortoplysninger i fejlretningslogfiler (i det mindste 27,295 gange, faktisk), men forsøgte faktisk ikke at spore disse useriøse logfiler ned i dets systemer for at se, hvor de endte, eller hvem der kunne have haft adgang til dem.
For at føje skade til fornærmelse viste undersøgelsen endvidere, at virksomheden ikke var PCI DSS-kompatibel (dets slyngelstater debug logs sørgede for det), blev beordret til at underkaste sig en PCI retsmedicinsk undersøgelse, men nægtede derefter at give efterforskerne den adgang, de havde brug for at udføre deres arbejde.
Som retsdokumenterne skævt bemærker, "[n]alligevel fandt den [PCI-kvalificerede retsmedicinske efterforsker] i den begrænsede gennemgang, den udførte, adskillige områder, hvor Zoetops systemer ikke var kompatible med PCI DSS."
Måske værst af alt, da virksomheden opdagede adgangskoder fra deres ROMWE-websted til salg på det mørke web i juni 2020, og i sidste ende indså, at disse data sandsynligvis blev stjålet tilbage i 2018-bruddet, som det allerede havde forsøgt at dække over...
…dets svar, i flere måneder, var at præsentere berørte brugere for en login-prompt, der skylder ofret, og sagde, "Din adgangskode har et lavt sikkerhedsniveau og kan være i fare. Skift venligst din login-adgangskode”.
Denne besked blev efterfølgende ændret til en afledningserklæring, der sagde, "Din adgangskode er ikke blevet opdateret i mere end 365 dage. For din beskyttelse skal du opdatere det nu."
Først i december 2020, efter at en anden tranche af adgangskoder til salg blev fundet på det mørke web, hvilket tilsyneladende bragte ROMWE-delen af bruddet til mere end 7,000,000 konti, indrømmede virksomheden over for sine kunder, at de var blevet blandet sammen i hvad det intetsigende omtalte som en "datasikkerhedshændelse."
Hvad skal jeg gøre?
Desværre ser straffen i denne sag ikke ud til at lægge det store pres på "hvem- bekymrer sig-om-cybersikkerhed-når-du-bare-kan-betale-bøden?" virksomheder til at gøre det rigtige, uanset om det er før, under eller efter en cybersikkerhedshændelse.
Bør sanktionerne for denne form for adfærd være højere?
For så længe der er virksomheder derude, der ser ud til at behandle bøder blot som en forretningsomkostning, der kan arbejdes ind i budgettet på forhånd, er økonomiske sanktioner overhovedet den rigtige vej at gå?
Eller skal virksomheder, der lider af overtrædelser af denne art, så forsøge at hindre tredjepartsefterforskere og derefter skjule den fulde sandhed om, hvad der skete for deres kunder...
… simpelthen blive forhindret i overhovedet at handle, for kærlighed eller penge?
Sig din mening i kommentarerne nedenfor! (Du kan forblive anonym.)
Ikke nok tid eller personale?
Lær mere om Sophos Managed Detection and Response:
24/7 trusselsjagt, detektion og reaktion ▶
- blockchain
- coingenius
- dække til
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- bruddet
- datatab
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- GDPR overholdelse
- Kaspersky
- malware
- Mcafee
- Naked Security
- New York
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- ROMWE
- Shein
- VPN
- website sikkerhed
- zephyrnet
- Zoetop
