Das chinesische Unternehmen Zoetop, ehemaliger Eigentümer der äußerst beliebten „Fast Fashion“-Marken SHEIN und ROMWE, wurde vom Staat New York mit einer Geldstrafe von 1,900,000 US-Dollar belegt.
Als Generalstaatsanwältin Letitia James Leg es in einer Erklärung von letzter Woche:
Die schwachen digitalen Sicherheitsmaßnahmen von SHEIN und ROMWE machten es Hackern leicht, persönliche Daten von Verbrauchern zu stehlen.
Als ob das nicht schon schlimm genug wäre, fuhr James fort zu sagen:
[Persönliche Daten wurden gestohlen und Zoetop versuchte, dies zu vertuschen. Es liegt nicht im Trend, die personenbezogenen Daten der Verbraucher nicht zu schützen und darüber zu lügen. SHEIN und ROMWE müssen ihre Cybersicherheitsmaßnahmen verschärfen, um Verbraucher vor Betrug und Identitätsdiebstahl zu schützen.
Ehrlich gesagt sind wir überrascht, dass Zoetop (jetzt SHEIN Distribution Corporation in den USA) so glimpflich davongekommen ist, angesichts der Größe, des Reichtums und der Markenmacht des Unternehmens, seines offensichtlichen Fehlens selbst grundlegender Vorsichtsmaßnahmen, die die Gefahr hätten verhindern oder verringern können durch die Verletzung und seine anhaltende Unehrlichkeit beim Umgang mit der Verletzung, nachdem sie bekannt wurde.
Von Außenstehenden entdeckte Verletzung
Laut Das Büro des Generalstaatsanwalts von New York hat Zoetop den Verstoß, der im Juni 2018 stattfand, nicht einmal selbst bemerkt.
Stattdessen fand der Zahlungsabwickler von Zoetop heraus, dass das Unternehmen verletzt worden war, nachdem Betrugsberichte von zwei Quellen gemeldet worden waren: einem Kreditkartenunternehmen und einer Bank.
Das Kreditkartenunternehmen stieß in einem Untergrundforum auf Kartendaten von SHEIN-Kunden, die zum Verkauf angeboten wurden, was darauf hindeutet, dass die Daten in großen Mengen von dem Unternehmen selbst oder einem seiner IT-Partner erworben wurden.
Und die Bank identifizierte SHEIN (ausgesprochen „she in“, wenn Sie das nicht schon herausgefunden hatten, nicht „shine“) als das, was als ein bekannt ist CPP im Zahlungsverhalten zahlreicher betrogener Kunden.
CPP ist die Abkürzung für gemeinsamer Einkaufsort, und bedeutet genau das, was es sagt: Wenn 100 Kunden unabhängig voneinander Betrug mit ihren Karten melden und wenn der einzige gemeinsame Händler, an den alle 100 Kunden kürzlich Zahlungen geleistet haben, Firma X ist …
… dann haben Sie Indizienbeweise dafür, dass X eine wahrscheinliche Ursache für den „Betrugsausbruch“ ist, auf die gleiche Art und Weise, wie der bahnbrechende britische Epidemiologe John Snow einen Cholera-Ausbruch von 1854 in London auf a zurückführte verschmutzte Wasserpumpe in der Broad Street, Soho.
Snows Arbeit trug dazu bei, die Vorstellung zu verwerfen, dass sich Krankheiten einfach „durch schlechte Luft ausbreiten“; begründete die „Keimtheorie“ als medizinische Realität und revolutionierte das Denken über die öffentliche Gesundheit. Er zeigte auch, wie objektives Messen und Testen dabei helfen kann, Ursachen und Wirkungen zu verbinden und so sicherzustellen, dass zukünftige Forscher keine Zeit damit verschwenden, unmögliche Erklärungen zu finden und nutzlose „Lösungen“ zu suchen.
Habe keine Vorkehrungen getroffen
Angesichts der Tatsache, dass das Unternehmen aus zweiter Hand von dem Verstoß erfahren hatte, war es nicht überraschend, dass die New Yorker Untersuchung das Unternehmen dafür geißelte, dass es sich nicht um die Überwachung der Cybersicherheit kümmerte, da dies der Fall war „keine regelmäßigen externen Schwachstellenscans durchgeführt oder Prüfprotokolle regelmäßig überwacht oder überprüft, um Sicherheitsvorfälle zu identifizieren.“
Die Untersuchung ergab auch, dass Zoetop:
- Gehashte Benutzerkennwörter auf eine Weise, die als zu leicht zu knacken gilt. Anscheinend bestand das Passwort-Hashing darin, das Passwort des Benutzers mit einem zweistelligen zufälligen Salt zu kombinieren, gefolgt von einer Iteration von MD5. Berichte von Passwort-Cracking-Enthusiasten deuten darauf hin, dass ein eigenständiges 8-GPU-Cracking-Rig mit Hardware von 2016 damals 200,000,000,000 MD5s pro Sekunde durchlaufen konnte (das Salz fügt normalerweise keine zusätzliche Rechenzeit hinzu). Das entspricht dem Ausprobieren von fast 20 Billiarden Passwörtern pro Tag mit nur einem Spezialcomputer. (Die heutigen MD5-Cracking-Raten sind bei Verwendung neuerer Grafikkarten anscheinend etwa fünf- bis zehnmal höher.)
- Leichtsinnig protokollierte Daten. Bei Transaktionen, bei denen ein Fehler auftrat, speicherte Zoetop die gesamte Transaktion in einem Debug-Protokoll, anscheinend einschließlich der vollständigen Kreditkartendaten (wir gehen davon aus, dass dies den Sicherheitscode sowie die lange Nummer und das Ablaufdatum enthielt). Aber selbst nachdem es von der Sicherheitslücke erfahren hatte, versuchte das Unternehmen nicht herauszufinden, wo es diese Art von betrügerischen Zahlungskartendaten in seinen Systemen gespeichert haben könnte.
- Konnte nicht mit einem Incident-Response-Plan belästigt werden. Das Unternehmen hatte nicht nur keinen Reaktionsplan für die Cybersicherheit, bevor die Verletzung passierte, es machte sich anscheinend auch nicht die Mühe, danach einen zu erstellen, wie die Untersuchung besagte „Es wurde versäumt, rechtzeitig Maßnahmen zu ergreifen, um viele der betroffenen Kunden zu schützen.“
- Hat eine Spyware-Infektion in seinem Zahlungsverarbeitungssystem erlitten. Wie die Untersuchung erklärte, „Jede Exfiltration von Zahlungskartendaten wäre [somit] durch Abfangen von Kartendaten am Kaufort erfolgt.“ Wie Sie sich vorstellen können, war das Unternehmen angesichts des Fehlens eines Plans zur Reaktion auf Vorfälle später nicht in der Lage zu sagen, wie gut diese datenstehlende Malware funktioniert hatte, obwohl die Tatsache, dass die Kartendaten von Kunden im Dark Web erschienen, darauf hindeutet, dass die Angreifer es waren erfolgreich.
Sagte nicht die Wahrheit
Das Unternehmen wurde auch scharf für seine Unehrlichkeit im Umgang mit Kunden kritisiert, nachdem es das Ausmaß des Angriffs kannte.
Zum Beispiel das Unternehmen:
- gaben an, dass 6,420,000 Benutzer (diejenigen, die tatsächlich Bestellungen aufgegeben hatten) betroffen waren, obwohl es wusste, dass 39,000,000 Datensätze von Benutzerkonten, einschließlich dieser ungeschickt gehashten Passwörter, gestohlen wurden.
- Sagte, es habe diese 6.42 Millionen Benutzer kontaktiert, obwohl tatsächlich nur Benutzer in Kanada, den USA und Europa informiert wurden.
- Kunden gesagt, dass es „keine Beweise dafür gibt, dass Ihre Kreditkarteninformationen aus unseren Systemen stammen“, obwohl sie von zwei Quellen auf den Verstoß aufmerksam gemacht wurden, die Beweise vorlegten, die genau darauf hindeuteten.
Das Unternehmen hat anscheinend auch versäumt zu erwähnen, dass es wusste, dass es eine datenstehlende Malware-Infektion erlitten hatte, und konnte keinen Beweis dafür erbringen, dass der Angriff nichts gebracht hatte.
Es hat auch nicht offengelegt, dass es manchmal wissentlich vollständige Kartendetails in Debug-Protokollen gespeichert hat (mindestens 27,295 mal), hat aber nicht wirklich versucht, diese betrügerischen Protokolldateien in seinen Systemen aufzuspüren, um zu sehen, wo sie gelandet sind oder wer möglicherweise Zugriff darauf hatte.
Um der Beleidigung noch mehr Schaden zuzufügen, stellte die Untersuchung außerdem fest, dass das Unternehmen nicht PCI-DSS-konform war (das wurde durch seine Schurken-Debug-Protokolle sichergestellt), wurde aufgefordert, sich einer forensischen PCI-Untersuchung zu unterziehen, verweigerte dann aber den Ermittlern den erforderlichen Zugang ihre Arbeit zu tun.
Wie die Gerichtsdokumente trocken anmerken, „[n]Trotzdem fand der [PCI-qualifizierte forensische Ermittler] in der von ihm durchgeführten begrenzten Überprüfung mehrere Bereiche, in denen die Systeme von Zoetop nicht mit PCI DSS konform waren.“
Am schlimmsten war vielleicht, als das Unternehmen im Juni 2020 Passwörter von seiner ROMWE-Website zum Verkauf im Dark Web entdeckte und schließlich feststellte, dass diese Daten wahrscheinlich bei der Verletzung von 2018 gestohlen wurden, die es bereits zu vertuschen versucht hatte…
… seine Antwort bestand mehrere Monate lang darin, betroffenen Benutzern eine Opferbeschuldigungs-Anmeldeaufforderung zu präsentieren, in der es hieß: „Ihr Passwort hat eine niedrige Sicherheitsstufe und ist möglicherweise gefährdet. Bitte ändern Sie Ihr Login-Passwort“.
Diese Nachricht wurde später in eine ablenkende Aussage geändert, in der es heißt: „Ihr Passwort wurde seit mehr als 365 Tagen nicht aktualisiert. Bitte aktualisieren Sie es zu Ihrem Schutz jetzt.“
Erst im Dezember 2020, nachdem eine zweite Tranche von zum Verkauf stehenden Passwörtern im Dark Web gefunden worden war, die den ROMWE-Teil der Verletzung offenbar auf mehr als 7,000,000 Konten brachten, gab das Unternehmen gegenüber seinen Kunden zu, dass sie darin verwickelt waren was es höflich als a bezeichnet „Datensicherheitsvorfall“.
Was ist zu tun?
Leider scheint die Bestrafung in diesem Fall nicht viel Druck auf „Wen-kümmert-sich-um-Cybersicherheit-wenn-man-einfach-die-Strafe-bezahlen kann“ auszuüben? Unternehmen, das Richtige zu tun, ob vor, während oder nach einem Cybersicherheitsvorfall.
Sollten die Strafen für diese Art von Verhalten höher sein?
Solange es Unternehmen gibt, die Bußgelder einfach als Betriebskosten zu behandeln scheinen, die im Voraus in das Budget eingearbeitet werden können, sind Geldstrafen überhaupt der richtige Weg?
Oder sollten Unternehmen, die Verstöße dieser Art erleiden, dann versuchen, externe Ermittler zu behindern und dann die volle Wahrheit über das, was passiert ist, vor ihren Kunden zu verbergen …
…einfach daran gehindert werden, überhaupt zu handeln, für Liebe oder Geld?
Sagen Sie Ihre Meinung in den Kommentaren unten! (Sie können anonym bleiben.)
Zu wenig Zeit oder Personal?
Erfahren Sie mehr darüber Sophos Managed Detection and Response:
Bedrohungssuche, -erkennung und -reaktion rund um die Uhr ▶
- Blockchain
- Einfallsreichtum
- aufdecken
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Datenmissbrauch
- Data Loss
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- (DSGVO) Datenschutzgrundverordnung konform
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- New York
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Romwe
- Schiefer
- VPN
- Website-Sicherheit
- Zephyrnet
- Zoetop
