Hiina ettevõtet Zoetop, metsikult populaarsete kaubamärkide SHEIN ja ROMWE "kiirmoe" endine omanik, määras New Yorgi osariik 1,900,000 XNUMX XNUMX dollari suuruse trahvi.
Peaprokurör Letitia Jamesina pane see eelmise nädala avalduses:
SHEINi ja ROMWE nõrgad digitaalsed turvameetmed tegid häkkeritele lihtsaks poevarguste tarbijate isikuandmete varastamise.
Nagu see poleks piisavalt halb, ütles James edasi:
[P]isiklikud andmed varastati ja Zoetop üritas neid varjata. Tarbijate isikuandmete kaitsmata jätmine ja nende kohta valetamine ei ole trendikas. SHEIN ja ROMWE peavad kasutama oma küberjulgeolekumeetmeid, et kaitsta tarbijaid pettuste ja identiteedivarguste eest.
Ausalt öeldes oleme üllatunud, et Zoetop (praegu SHEIN Distribution Corporation USA-s) läks nii kergelt, võttes arvesse ettevõtte suurust, jõukust ja kaubamärgi võimsust ning selle ilmset puudumist isegi elementaarsetest ettevaatusabinõudest, mis oleksid saanud ohtu ära hoida või vähendada. rikkumise tõttu ja tema jätkuv ebaaus käitumine rikkumise käsitlemisel pärast selle teatavaks saamist.
Kõrvalised isikud avastasid rikkumise
Järgi New Yorgi peaprokurör Zoetop ei märganud isegi 2018. aasta juunis toimunud rikkumist iseenesest.
Selle asemel sai Zoetopi maksete töötleja aru, et ettevõtet on rikutud, pärast pettusteateid kahest allikast: krediitkaardifirmast ja pangast.
Krediitkaardifirma sattus maa-aluses foorumis müügiks SHEINi klientide kaardiandmetele, mis viitas sellele, et andmed on hulgi hangitud ettevõttelt endalt või mõnelt selle IT-partnerilt.
Ja pank tuvastas, et SHEIN (hääldatakse "she in", kui te poleks seda juba välja mõelnud, mitte "sära") on see, mida nimetatakse CPP paljude petetud klientide makseajaloos.
CPP on lühend sõnadest ühine ostukoht, ja tähendab täpselt seda, mida see ütleb: kui 100 klienti teatavad iseseisvalt oma kaardiga seotud pettustest ja kui ainus tavaline kaupmees, kellele kõik 100 klienti hiljuti makseid tegid, on ettevõte X…
…siis on teil kaudseid tõendeid selle kohta, et X on "pettusepuhangu" tõenäoline põhjus, samamoodi nagu murranguline Briti epidemioloog John Snow jälgis 1854. aasta koolerapuhangut Londonis. saastunud veepump Soho osariigis Broad Streetis.
Snow töö aitas ümber lükata ideed, et haigused lihtsalt "levivad halva õhu kaudu"; kehtestas "iduteooria" meditsiinilise reaalsusena ja muutis rahvatervise alast mõtlemist. Ta näitas ka, kuidas objektiivne mõõtmine ja testimine võivad aidata põhjuseid ja tagajärgi ühendada, tagades nii, et tulevased teadlased ei raiskaks aega võimatute selgituste leidmisele ja kasutute "lahenduste" otsimisele.
Ei võtnud ettevaatusabinõusid
Pole üllatav, et kuna ettevõte sai rikkumisest teada teise käega, siis New Yorgi uurimine süüdistas ettevõtet selle eest, et ettevõte ei tegelenud küberjulgeoleku jälgimisega, kuna see "ei kontrollinud regulaarselt väliseid haavatavust ega jälginud ega vaadanud regulaarselt läbi auditiloge, et tuvastada turvaintsidente."
Uurimine teatas ka, et Zoetop:
- Räsitud kasutajaparoolid viisil, mida peeti liiga lihtsaks murdmiseks. Ilmselt seisnes paroolide räsimine kasutaja parooli kombineerimises kahekohalise juhusliku soolaga, millele järgnes üks MD5 iteratsioon. Paroolimurdmise entusiastide aruanded viitavad sellele, et 8. aasta riistvaraga eraldiseisev 2016-GPU-ga purustamisseade võis tollal töötada kuni 200,000,000,000 5 20 5 MDXNUMX-d sekundis (tavaliselt ei lisa see sool täiendavat arvutusaega). See võrdub peaaegu XNUMX kvadriljoni parooli proovimisega päevas, kasutades ainult ühte eriotstarbelist arvutit. (Tänapäeva MDXNUMX pragunemissagedus on viimaste graafikakaartide abil ilmselt sellest viis kuni kümme korda kiirem.)
- Logis andmeid hoolimatult. Tehingute puhul, kus ilmnes mingi tõrge, salvestas Zoetop kogu tehingu silumislogi, sisaldades ilmselt kõiki krediitkaardiandmeid (oletame, et see sisaldas nii turvakoodi kui ka pikka numbrit ja aegumiskuupäeva). Kuid isegi pärast seda, kui ettevõte sai rikkumisest teada, ei püüdnud ettevõte välja selgitada, kus ta võis oma süsteemides selliseid petturlikke maksekaardiandmeid salvestada.
- Ei saanud tülitada intsidendile reageerimise plaaniga. Lisaks sellele, et ettevõttel ei olnud enne rikkumise toimumist küberturvalisuse reageerimisplaani, ei vaevunud ta seda ka hiljem välja mõtlema, kuna juurdlus väitis, et "ei võtnud õigeaegseid meetmeid paljude mõjutatud klientide kaitsmiseks."
- Ta sai oma maksete töötlemise süsteemis nuhkvaranakkuse. Nagu uurimine selgitas, "Igasugune maksekaardi andmete väljafiltreerimine oleks [seega] toimunud kaardiandmete pealtkuulamisega ostukohas." Nagu võite ette kujutada, ei suutnud ettevõte intsidentidele reageerimise plaani puudumise tõttu hiljem öelda, kui hästi see andmeid varastatud pahavara töötas, kuigi klientide kaardiandmete ilmumine pimedas veebis viitab sellele, et ründajad olid edukas.
Ei rääkinud tõtt
Ettevõtet kritiseeriti põhjalikult ka ebaaususe pärast klientidega suhtlemisel pärast seda, kui ta teadis rünnaku ulatust.
Näiteks ettevõte:
- märkis, et see mõjutas 6,420,000 XNUMX XNUMX kasutajat (neid, kes olid tegelikult tellimusi esitanud), kuigi ta teadis, et varastati 39,000,000 XNUMX XNUMX kasutajakonto kirjet, sealhulgas need valesti räsitud paroolid.
- Ütles, et võttis ühendust nende 6.42 miljoni kasutajaga, kui tegelikult teavitati ainult Kanada, USA ja Euroopa kasutajaid.
- Ütles klientidele, et sellel "ei olnud tõendeid selle kohta, et teie krediitkaarditeave on meie süsteemidest võetud", vaatamata sellele, et kaks allikat, kes esitasid tõendeid, mis viitasid täpselt sellele, on neid rikkumisest teavitanud.
Näib, et ettevõte jättis ka mainimata, et ta teadis, et ta oli kannatanud andmeid varastava pahavara nakatumise all, ega suutnud esitada tõendeid selle kohta, et rünnak pole andnud midagi.
Samuti ei suutnud ta avalikustada, et mõnikord salvestas ta teadlikult silumislogidesse täielikud kaardiandmed (vähemalt 27,295 kordaõigupoolest), kuid ei püüdnud tegelikult oma süsteemis neid petturlikke logifaile üles leida, et näha, kuhu need jõudsid või kellel võis neile juurdepääs olla.
Solvangule kahju lisamiseks leiti uurimise käigus, et ettevõte ei vastanud PCI DSS-i nõuetele (selles veendusid tema võltsitud silumislogid), kästi alluda PCI kohtuekspertiisi uurimisele, kuid keeldus seejärel võimaldamast uurijatele vajalikku juurdepääsu. oma tööd tegema.
Nagu kohtudokumentides kavalalt märgitakse, „[n]sellegipoolest leidis [PCI-kvalifitseeritud kohtuekspertiisi uurija] läbiviidud piiratud ülevaates mitu valdkonda, kus Zoetopi süsteemid ei vastanud PCI DSS-ile.”
Võib-olla kõige hullem, kui ettevõte avastas 2020. aasta juunis oma ROMWE veebisaidilt pimedas veebis müügil olevad paroolid ja mõistis lõpuks, et need andmed varastati tõenäoliselt tagasi 2018. aasta rikkumise käigus, mida ta oli juba üritanud varjata…
…selle vastuseks oli mitme kuu jooksul esitada mõjutatud kasutajatele ohvreid süüdistav sisselogimisviipa, milles öeldakse: "Teie parooli turvatase on madal ja see võib olla ohus. Palun muutke oma sisselogimise parool".
See sõnum muudeti hiljem kõrvalepõikeks, milles öeldakse: "Teie parooli pole värskendatud rohkem kui 365 päeva jooksul. Oma kaitseks värskendage seda kohe.
Alles 2020. aasta detsembris, pärast seda, kui pimedas veebis leiti teine osa müügiks mõeldud paroolidest, mis ilmselt tõi ROMWE osa rikkumisest enam kui 7,000,000 XNUMX XNUMX kontole, tunnistas ettevõte oma klientidele, et need on segamini aetud. mida see õrnalt nimetas a "Andmeturbe intsident."
Mida teha?
Kahjuks ei paista karistus antud juhul suurt survet avaldavat teemale “kes-küberturvalisus-millal-saate-just-trahvi maksta?”. ettevõtetel teha õigeid asju, olgu enne küberjulgeolekuintsidenti, selle ajal või pärast seda.
Kas karistused sellise käitumise eest peaksid olema suuremad?
Kas senikaua, kuni on ettevõtteid, mis näivad käsitlevat trahve lihtsalt ärikuluna, mida saab eelarvesse eelnevalt sisse töötada, kas rahatrahvid on isegi õige tee?
Või peaksid ettevõtted, kes kannatavad sedalaadi rikkumiste all, püüdma takistada kolmandatest isikutest uurijaid ja seejärel varjata juhtunu kohta täit tõde oma klientide eest...
... lihtsalt takistada kauplemast armastuse või raha pärast?
Anna oma arvamus allolevates kommentaarides! (Võite jääda anonüümseks.)
Kas pole piisavalt aega ega töötajaid?
Lisateave Sophose hallatav tuvastamine ja reageerimine:
Ööpäevaringne ohtude otsimine, avastamine ja reageerimine ▶
- blockchain
- coingenius
- varjamine
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- andmete rikkumist
- andmete kadu
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- GDPR vastavus
- Kaspersky
- malware
- mcafee
- Alasti turvalisus
- New York
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- ROMWE
- SHEIN
- VPN
- kodulehel turvalisus
- sephyrnet
- Zoetop
![S3 Ep119: rikkumised, paigad, lekked ja näpunäited! [Heli + tekst]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-360x188.jpg)
![S3 Ep122: lõpetage iga rikkumise nimetamine "keerukaks"! [Heli + tekst]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-360x174.png)
