Η μάρκα μόδας SHEIN επέβαλε πρόστιμο 1.9 εκατομμυρίων δολαρίων για ψέματα για παραβίαση δεδομένων

Η κινεζική εταιρεία Zoetop, πρώην ιδιοκτήτρια των εξαιρετικά δημοφιλών σημάτων «γρήγορης μόδας» SHEIN και ROMWE, επιβλήθηκε πρόστιμο 1,900,000 δολαρίων από την Πολιτεία της Νέας Υόρκης.

Ως γενική εισαγγελέας Λετίθια Τζέιμς βάλε το σε δήλωση την περασμένη εβδομάδα:

Τα αδύναμα μέτρα ψηφιακής ασφάλειας της SHEIN και της ROMWE διευκόλυναν τους χάκερ να κλέβουν τα προσωπικά δεδομένα των καταναλωτών.

Σαν να μην ήταν αρκετά κακό, ο Τζέιμς συνέχισε λέγοντας:

[P]προσωπικά δεδομένα κλάπηκαν και η Zoetop προσπάθησε να τα καλύψει. Η αποτυχία προστασίας των προσωπικών δεδομένων των καταναλωτών και το ψέμα γι 'αυτό δεν είναι της μόδας. Η SHEIN και η ROMWE πρέπει να κουμπώσουν τα μέτρα ασφάλειας στον κυβερνοχώρο για να προστατεύσουν τους καταναλωτές από απάτη και κλοπή ταυτότητας.

Ειλικρινά, μας εκπλήσσει που η Zoetop (τώρα SHEIN Distribution Corporation στις Η.Π.Α.) τα πήγε τόσο ελαφρά, λαμβάνοντας υπόψη το μέγεθος, τον πλούτο και τη δύναμη της επωνυμίας της εταιρείας, την προφανή έλλειψη ακόμη και βασικών προφυλάξεων που θα μπορούσαν να είχαν αποτρέψει ή μειώσει τον κίνδυνο από την παραβίαση και τη συνεχιζόμενη ανεντιμότητα στο χειρισμό της παραβίασης αφού έγινε γνωστή.

Παραβίαση που ανακαλύφθηκε από ξένους

Σύμφωνα με το Γραφείο του Γενικού Εισαγγελέα της Νέας Υόρκης, ο Zoetop δεν παρατήρησε καν την παραβίαση, που συνέβη τον Ιούνιο του 2018, από μόνη της.

Αντίθετα, ο επεξεργαστής πληρωμών της Zoetop κατάλαβε ότι η εταιρεία είχε παραβιαστεί, μετά από αναφορές απάτης από δύο πηγές: μια εταιρεία πιστωτικών καρτών και μια τράπεζα.

Η εταιρεία πιστωτικών καρτών βρήκε δεδομένα καρτών πελατών της SHEIN προς πώληση σε ένα υπόγειο φόρουμ, υποδηλώνοντας ότι τα δεδομένα είχαν αποκτηθεί μαζικά από την ίδια την εταιρεία ή έναν από τους συνεργάτες της στον τομέα της πληροφορικής.

Και η τράπεζα αναγνώρισε το SHEIN (προφέρεται "she in", αν δεν το είχατε κάνει ήδη, όχι "λάμψη") ως αυτό που είναι γνωστό ως CPP στα ιστορικά πληρωμών πολλών πελατών που είχαν υποστεί απάτη.

Το CPP είναι συντομογραφία για κοινό σημείο αγοράς, και σημαίνει ακριβώς αυτό που λέει: εάν 100 πελάτες αναφέρουν ανεξάρτητα απάτη κατά των καρτών τους και εάν ο μόνος κοινός έμπορος στον οποίο και οι 100 πελάτες έκαναν πρόσφατα πληρωμές είναι η εταιρεία X…

…τότε έχετε έμμεσες αποδείξεις ότι το Χ είναι μια πιθανή αιτία της «ξέσπασης απάτης», με τον ίδιο τρόπο που ο πρωτοποριακός Βρετανός επιδημιολόγος Τζον Σνόου εντόπισε ένα ξέσπασμα χολέρας το 1854 στο Λονδίνο σε μια αντλία μολυσμένου νερού στην Broad Street, Soho.

Το έργο του Snow βοήθησε να απορριφθεί η ιδέα ότι οι ασθένειες απλώς «διαδίδονται μέσω του βρώμικου αέρα». καθιέρωσε τη «θεωρία μικροβίων» ως ιατρική πραγματικότητα και έφερε επανάσταση στη σκέψη για τη δημόσια υγεία. Έδειξε επίσης πώς η αντικειμενική μέτρηση και ο έλεγχος θα μπορούσαν να βοηθήσουν στη σύνδεση αιτιών και αποτελεσμάτων, διασφαλίζοντας έτσι ότι οι μελλοντικοί ερευνητές δεν θα έχασαν χρόνο για να βρουν αδύνατες εξηγήσεις και να αναζητήσουν άχρηστες «λύσεις».

Δεν πήρε προφυλάξεις

Δεν αποτελεί έκπληξη, δεδομένου ότι η εταιρεία ανακάλυψε την παραβίαση από δεύτερο χέρι, η έρευνα της Νέας Υόρκης κατηγόρησε την επιχείρηση επειδή δεν ασχολήθηκε με την παρακολούθηση της κυβερνοασφάλειας, δεδομένου ότι «Δεν εκτέλεσε τακτικές εξωτερικές σαρώσεις ευπάθειας ούτε παρακολουθούσε ή ελέγχει τακτικά αρχεία καταγραφής ελέγχου για τον εντοπισμό περιστατικών ασφαλείας».

Η έρευνα ανέφερε επίσης ότι το Zoetop:

• Κατακερματισμένοι κωδικοί πρόσβασης χρηστών με τρόπο που θεωρείται πολύ εύκολο να σπάσει. Προφανώς, ο κατακερματισμός κωδικού πρόσβασης συνίστατο στο συνδυασμό του κωδικού πρόσβασης του χρήστη με ένα διψήφιο τυχαίο αλάτι, ακολουθούμενο από μία επανάληψη του MD5. Αναφορές από λάτρεις της διάσπασης κωδικών πρόσβασης υποδηλώνουν ότι μια αυτόνομη εγκατάσταση πυρόλυσης 8 GPU με υλικό του 2016 θα μπορούσε να αναδώσει 200,000,000,000 MD5 το δευτερόλεπτο τότε (το αλάτι συνήθως δεν προσθέτει επιπλέον χρόνο υπολογισμού). Αυτό ισοδυναμεί με τη δοκιμή σχεδόν 20 τετρασεκατομμυρίων κωδικών πρόσβασης την ημέρα χρησιμοποιώντας έναν μόνο υπολογιστή ειδικής χρήσης. (Οι σημερινοί ρυθμοί σπασίματος MD5 είναι προφανώς περίπου πέντε έως δέκα φορές ταχύτεροι από αυτό, χρησιμοποιώντας πρόσφατες κάρτες γραφικών.)
• Καταγράφηκαν δεδομένα αλόγιστα. Για συναλλαγές όπου παρουσιάστηκε κάποιο είδος σφάλματος, το Zoetop αποθήκευσε ολόκληρη τη συναλλαγή σε ένα αρχείο καταγραφής εντοπισμού σφαλμάτων, προφανώς περιλαμβάνοντας τα πλήρη στοιχεία της πιστωτικής κάρτας (υποθέτουμε ότι περιλάμβανε τον κωδικό ασφαλείας καθώς και τον μεγάλο αριθμό και την ημερομηνία λήξης). Αλλά ακόμα και αφού γνώριζε για την παραβίαση, η εταιρεία δεν προσπάθησε να ανακαλύψει πού θα μπορούσε να είχε αποθηκεύσει αυτού του είδους τα αδίστακτα δεδομένα καρτών πληρωμής στα συστήματά της.
• Δεν θα μπορούσα να ασχοληθώ με ένα σχέδιο αντιμετώπισης περιστατικών. Όχι μόνο η εταιρεία απέτυχε να έχει ένα σχέδιο απόκρισης στον κυβερνοχώρο πριν συμβεί η παραβίαση, προφανώς δεν μπήκε στον κόπο να καταλήξει σε ένα στη συνέχεια, με την έρευνα να αναφέρει ότι «Απέτυχε να λάβει έγκαιρα μέτρα για την προστασία πολλών από τους πελάτες που επηρεάστηκαν».
• Υπέστη μόλυνση από spyware στο σύστημα επεξεργασίας πληρωμών του. Όπως εξήγησε η έρευνα, «Οποιαδήποτε διείσδυση δεδομένων της κάρτας πληρωμής θα είχε [επομένως] υποκλοπή δεδομένων κάρτας στο σημείο αγοράς». Όπως μπορείτε να φανταστείτε, δεδομένης της έλλειψης σχεδίου αντιμετώπισης περιστατικών, η εταιρεία δεν μπόρεσε στη συνέχεια να πει πόσο καλά είχε λειτουργήσει αυτό το κακόβουλο λογισμικό κλοπής δεδομένων, αν και το γεγονός ότι τα στοιχεία της κάρτας των πελατών εμφανίστηκαν στον σκοτεινό ιστό υποδηλώνει ότι οι εισβολείς ήταν επιτυχής.

Δεν είπε την αλήθεια

Η εταιρεία επικρίθηκε επίσης δριμύτατα για την ανεντιμότητα της στον τρόπο με τον οποίο αντιμετώπιζε τους πελάτες αφού γνώριζε την έκταση της επίθεσης.

Για παράδειγμα, η εταιρεία:

• Δήλωσε ότι επηρεάστηκαν 6,420,000 χρήστες (αυτοί που είχαν κάνει πραγματικά παραγγελίες), αν και γνώριζε ότι κλάπηκαν 39,000,000 εγγραφές λογαριασμών χρήστη, συμπεριλαμβανομένων αυτών των κωδικών πρόσβασης που είχαν κατακερματιστεί σωστά.
• Είπε ότι είχε επικοινωνήσει με αυτούς τους 6.42 εκατομμύρια χρήστες, ενώ στην πραγματικότητα ενημερώθηκαν μόνο οι χρήστες στον Καναδά, τις ΗΠΑ και την Ευρώπη.
• Είπε στους πελάτες ότι «δεν είχε αποδείξεις ότι τα στοιχεία της πιστωτικής σας κάρτας είχαν ληφθεί από τα συστήματά μας», παρά το γεγονός ότι είχαν ειδοποιηθεί για την παραβίαση από δύο πηγές που παρουσίασαν στοιχεία που υποδηλώνουν έντονα αυτό ακριβώς.

Η εταιρεία, φαίνεται, επίσης παρέλειψε να αναφέρει ότι γνώριζε ότι είχε υποστεί μόλυνση από κακόβουλο λογισμικό κλοπής δεδομένων και δεν ήταν σε θέση να παράσχει στοιχεία ότι η επίθεση δεν είχε αποφέρει τίποτα.

Επίσης, απέτυχε να αποκαλύψει ότι μερικές φορές αποθήκευε εν γνώσει του τα πλήρη στοιχεία της κάρτας στα αρχεία καταγραφής εντοπισμού σφαλμάτων (τουλάχιστον φορές 27,295, στην πραγματικότητα), αλλά στην πραγματικότητα δεν προσπάθησε να εντοπίσει αυτά τα αδίστακτα αρχεία καταγραφής στα συστήματά του για να δει πού κατέληξαν ή ποιος μπορεί να είχε πρόσβαση σε αυτά.

Για να προσθέσει τραυματισμό στην προσβολή, η έρευνα διαπίστωσε περαιτέρω ότι η εταιρεία δεν ήταν συμβατή με το PCI DSS (τα αδίστακτα αρχεία καταγραφής εντοπισμού σφαλμάτων το διασφάλιζαν αυτό), έλαβε εντολή να υποβληθεί σε ιατροδικαστική έρευνα PCI, αλλά στη συνέχεια αρνήθηκε να επιτρέψει στους ερευνητές την πρόσβαση που χρειάζονταν να κάνουν τη δουλειά τους.

Όπως εύστοχα σημειώνουν τα δικαστικά έγγραφα, «[n]ωστόσο, στην περιορισμένη επανεξέταση που διεξήγαγε, ο [εγκληματολογικός ερευνητής πιστοποιημένος με PCI] βρήκε αρκετές περιοχές στις οποίες τα συστήματα της Zoetop δεν ήταν συμβατά με το PCI DSS».

Ίσως το χειρότερο από όλα, όταν η εταιρεία ανακάλυψε κωδικούς πρόσβασης από τον ιστότοπό της ROMWE προς πώληση στον σκοτεινό ιστό τον Ιούνιο του 2020 και τελικά συνειδητοποίησε ότι αυτά τα δεδομένα πιθανότατα είχαν κλαπεί πίσω στην παραβίαση του 2018 που είχε ήδη προσπαθήσει να καλύψει…

…η απάντησή του, για αρκετούς μήνες, ήταν να παρουσιάσει στους επηρεαζόμενους χρήστες μια προτροπή σύνδεσης που κατηγορεί το θύμα λέγοντας: «Ο κωδικός πρόσβασής σας έχει χαμηλό επίπεδο ασφάλειας και μπορεί να είναι σε κίνδυνο. Αλλάξτε τον κωδικό πρόσβασής σας».

Αυτό το μήνυμα μετατράπηκε στη συνέχεια σε δήλωση εκτροπής που έλεγε: «Ο κωδικός πρόσβασής σας δεν έχει ενημερωθεί για περισσότερες από 365 ημέρες. Για την προστασία σας, ενημερώστε το τώρα."

Μόνο τον Δεκέμβριο του 2020, αφού βρέθηκε μια δεύτερη δόση κωδικών πρόσβασης προς πώληση στον σκοτεινό ιστό, που προφανώς έφερε το μέρος της παραβίασης της ROMWE σε περισσότερους από 7,000,000 λογαριασμούς, η εταιρεία παραδέχτηκε στους πελάτες της ότι είχαν μπερδευτεί σε αυτό που ανυπόφορα αναφερόταν ως α "Συμβάν με ασφάλεια δεδομένων."

Τι να κάνω;

Δυστυχώς, η τιμωρία σε αυτήν την περίπτωση δεν φαίνεται να ασκεί μεγάλη πίεση στο "ποιος-νοιάζεται-για την-ασφάλεια στον κυβερνοχώρο-όταν-μπορείτε-απλώς-να-πληρώσετε-το πρόστιμο;" εταιρείες να κάνουν το σωστό, είτε πριν, είτε κατά τη διάρκεια είτε μετά από ένα περιστατικό κυβερνοασφάλειας.

Θα έπρεπε να είναι υψηλότερες οι κυρώσεις για τέτοιου είδους συμπεριφορά;

Εφόσον υπάρχουν επιχειρήσεις εκεί έξω που φαίνεται να αντιμετωπίζουν τα πρόστιμα απλώς ως ένα κόστος της επιχείρησης που μπορεί να ενσωματωθεί στον προϋπολογισμό εκ των προτέρων, είναι οι οικονομικές κυρώσεις ακόμη και ο σωστός τρόπος;

Ή θα πρέπει οι εταιρείες που υφίστανται παραβιάσεις αυτού του είδους, στη συνέχεια να προσπαθήσουν να εμποδίσουν τους ερευνητές τρίτων και στη συνέχεια να κρύψουν την πλήρη αλήθεια του τι συνέβη από τους πελάτες τους…

…απλά να σας αποτρέψουν να κάνετε συναλλαγές, για αγάπη ή χρήματα;

Πείτε τη γνώμη σας στα σχόλια παρακάτω! (Μπορεί να παραμείνετε ανώνυμοι.)

---

Δεν υπάρχει αρκετός χρόνος ή προσωπικό;
Μάθετε περισσότερα σχετικά με Sophos Managed Detection and Response:
Κυνήγι, ανίχνευση και απόκριση απειλών 24/7  ▶

---