New Yorkin osavaltio on tuominnut 1,900,000 XNUMX XNUMX dollarin sakon kiinalaiselle Zoetopille, joka on hurjan suosittujen SHEIN- ja ROMWE-pikamuotimerkkien entinen omistaja.
Kuten oikeusministeri Letitia James laita se viime viikolla lausunnossaan:
SHEINin ja ROMWE:n heikot digitaaliset tietoturvatoimenpiteet tekivät hakkereiden helpoksi varastaa kuluttajien henkilötietoja.
Ikään kuin se ei olisi tarpeeksi huono, James jatkoi:
[P]henkilötiedot varastettiin ja Zoetop yritti peitellä niitä. Kuluttajien henkilötietojen suojaamatta jättäminen ja niistä valehteleminen ei ole trendikästä. SHEINin ja ROMWE:n on tehostettava kyberturvallisuustoimenpiteitään suojellakseen kuluttajia petoksilta ja identiteettivarkauksilta.
Suoraan sanottuna olemme yllättyneitä siitä, että Zoetop (nykyisin SHEIN Distribution Corporation Yhdysvalloissa) onnistui niin kevyesti, kun otetaan huomioon yrityksen koko, vauraus ja brändivoima sekä sen ilmeinen puuttuminen edes perusvarotoimenpiteistä, jotka olisivat voineet estää tai vähentää aiheutuvan vaaran. rikkomisesta ja sen jatkuvasta epärehellisyydestä rikkomuksen käsittelyssä sen jälkeen, kun se tuli tiedoksi.
Ulkopuolisten havaitsema rikkomus
Mukaan New Yorkin oikeusministeri Zoetop ei edes huomannut kesäkuussa 2018 tapahtunutta loukkausta itsestään.
Sen sijaan Zoetopin maksuprosessori havaitsi, että yritystä oli loukattu kahdesta lähteestä saatujen petosraporttien jälkeen: luottokorttiyhtiöltä ja pankilta.
Luottokorttiyhtiö törmäsi SHEIN-asiakkaiden korttitietoihin myytäväksi maanalaisella foorumilla, mikä viittasi siihen, että tiedot oli hankittu irtotavarana yritykseltä itseltään tai yhdeltä sen IT-kumppanilta.
Ja pankki tunnisti SHEINin (lausutaan "she in", jos et ollut jo tehnyt sitä, ei "shine") niin sanotuksi CPP lukuisten huijattujen asiakkaiden maksuhistoriassa.
CPP on lyhenne sanoista yhteinen ostopaikka, ja tarkoittaa juuri sitä, mitä siinä sanotaan: jos 100 asiakasta ilmoittaa itsenäisesti korttejaan koskevista petoksista ja jos ainoa yhteinen kauppias, jolle kaikki 100 asiakasta ovat viime aikoina maksaneet, on yritys X…
…siitten sinulla on epäsuoraa näyttöä siitä, että X on todennäköinen syy "petosepidemian puhkeamiseen", samalla tavalla kuin uraauurtava brittiläinen epidemiologi John Snow jäljitti Lontoossa vuonna 1854 tapahtuneen koleraepidemian. saastunut vesipumppu Broad Streetillä, Sohossa.
Snow työ auttoi hylkäämään ajatuksen siitä, että sairaudet yksinkertaisesti "leviävät saastaisen ilman kautta"; vahvisti "bakteeriteorian" lääketieteelliseksi todellisuudeksi ja mullisti ajattelun kansanterveydestä. Hän osoitti myös, kuinka objektiivinen mittaus ja testaus voisivat auttaa yhdistämään syyt ja seuraukset, mikä varmistaa, että tulevat tutkijat eivät tuhlaa aikaa mahdottomien selitysten ja hyödyttömien "ratkaisujen" etsimiseen.
Ei ryhtynyt varotoimiin
Ei ole yllättävää, että koska yritys sai tietomurron toisen kädestä, New Yorkin tutkinta syytti yritystä siitä, ettei se ollut vaivautunut kyberturvallisuuden valvontaan, koska se "ei suorittanut säännöllisiä ulkoisia haavoittuvuustarkistuksia eikä säännöllisesti seurannut tai tarkistanut tarkastuslokeja tietoturvahäiriöiden tunnistamiseksi."
Tutkimuksessa kerrottiin myös, että Zoetop:
- Tiivistetty käyttäjien salasanoja tavalla, jota pidettiin liian helposti murtavissa. Ilmeisesti salasanan hajautus koostui käyttäjän salasanan yhdistämisestä kaksinumeroiseen satunnaiseen suolaan, jota seurasi yksi iteraatio MD5:stä. Salasanojen murtamisesta kiinnostuneiden raportit viittaavat siihen, että erillinen 8-GPU-murtolaite vuoden 2016 laitteistolla voisi tuolloin tuottaa 200,000,000,000 5 20 5 MDXNUMX:tä sekunnissa (suola ei yleensä lisää ylimääräistä laskenta-aikaa). Se vastaa lähes XNUMX kvadriljoonan salasanan kokeilemista päivässä vain yhdellä erikoistietokoneella. (Nykyiset MDXNUMX:n murtumisnopeudet ovat ilmeisesti noin viidestä kymmeneen kertaa nopeampia kuin viimeaikaisilla näytönohjaimilla.)
- Loki tiedot piittaamattomasti. Tapahtumissa, joissa tapahtui jonkinlainen virhe, Zoetop tallensi koko tapahtuman virheenkorjauslokiin, sisältäen ilmeisesti täydelliset luottokorttitiedot (oletamme, että tämä sisälsi turvakoodin sekä pitkän numeron ja viimeinen voimassaolopäivän). Mutta senkin jälkeen, kun yritys tiesi tietomurron, se ei yrittänyt selvittää, mihin se olisi voinut tallentaa tällaisia vilpillisiä maksukorttitietoja järjestelmiinsä.
- Ei voinut olla vaivautunut tapaussuunnitelmaan. Yrityksellä ei vain ollut kyberturvallisuussuunnitelmaa ennen tietomurron tapahtumista, eikä se ilmeisestikään vaivautunut keksimään sellaista myöhemmin, kun tutkinta totesi, että "Ei ryhtynyt ajoissa toimiin suojellakseen monia asiakkaita, joita asia koskee."
- Kärsi vakoiluohjelmatartunnasta maksunkäsittelyjärjestelmässään. Kuten tutkinta selitti, "Kaikki maksukorttitietojen suodattaminen olisi [siis] tapahtunut sieppaamalla korttitietoja ostohetkellä." Kuten voitte kuvitella, yhtiö ei pystynyt myöhemmin kertomaan, kuinka hyvin tämä datavarastava haittaohjelma oli toiminut, koska onnettomuussuunnitelman puuttuessa, vaikka asiakkaiden korttitietojen ilmestyminen pimeässä verkossa viittaa siihen, että hyökkääjät olivat onnistunut.
Ei kertonut totuutta
Yritystä kritisoitiin myös sen epärehellisyydestä, miten se kohteli asiakkaita sen jälkeen, kun se tiesi hyökkäyksen laajuuden.
Esimerkiksi yritys:
- totesi, että vaikutus vaikutti 6,420,000 XNUMX XNUMX käyttäjään (ne, jotka olivat todella tehneet tilauksia), vaikka se tiesi, että 39,000,000 XNUMX XNUMX käyttäjätilitietuetta, mukaan lukien virheellisesti tiivistetyt salasanat, varastettiin.
- Sanoi ottaneensa yhteyttä näihin 6.42 miljoonaan käyttäjään, kun itse asiassa vain Kanadassa, Yhdysvalloissa ja Euroopassa oleville käyttäjille tiedotettiin.
- Kertoi asiakkaille, että sillä "ei ollut todisteita siitä, että luottokorttitietosi olisi otettu järjestelmistämme", huolimatta siitä, että kaksi lähdettä varoittivat rikkomuksesta, jotka esittivät todisteita, jotka viittaavat vahvasti siihen.
Näyttää siltä, että yritys ei myöskään maininnut, että se tiesi kärsineensä tietoja varastavasta haittaohjelmatartunnasta, eikä ollut pystynyt esittämään todisteita siitä, että hyökkäys ei ollut tuottanut mitään.
Se ei myöskään paljastanut, että se joskus tietoisesti tallensi täydelliset korttitiedot virheenkorjauslokeihin (ainakin 27,295 kertaaitse asiassa), mutta ei varsinaisesti yrittänyt jäljittää niitä järjettömiä lokitiedostoja järjestelmissään nähdäkseen, mihin ne päätyivät tai kenellä on saattanut olla pääsy niihin.
Loukkauksen lisäämiseksi tutkimuksessa todettiin lisäksi, että yritys ei ollut PCI DSS -yhteensopiva (sen virheenkorjauslokit varmistivat tämän), hänet määrättiin alistumaan PCI:n rikostekniseen tutkimukseen, mutta se kieltäytyi sitten myöntämästä tutkijoille heidän tarvitsemaansa pääsyä. tekemään työnsä.
Kuten oikeuden asiakirjoissa haikeasti todetaan, "[n]kuitenkin [PCI-pätevä oikeuslääketieteellinen tutkija] havaitsi tekemässään rajoitetussa arvioinnissa useita alueita, joilla Zoetopin järjestelmät eivät olleet yhteensopivia PCI DSS:n kanssa."
Ehkä pahinta, kun yritys löysi salasanoja ROMWE-verkkosivustoltaan myytäväksi pimeässä verkossa kesäkuussa 2020 ja lopulta tajusi, että nämä tiedot oli luultavasti varastettu takaisin vuoden 2018 rikkomuksessa, jota se oli jo yrittänyt peitellä…
…sen vastauksena useiden kuukausien ajan oli esitelty käyttäjille, joita asia koskee, uhria syyttävä kirjautumiskehote, jossa sanottiin: "Salasanasi suojaustaso on alhainen ja se voi olla vaarassa. Vaihda kirjautumissalasanasi".
Tämä viesti muutettiin myöhemmin harhaanjohtavaksi lausumaksi, jossa sanottiin: "Salasanasi ei ole päivitetty yli 365 päivään. Päivitä se nyt turvallisuutesi vuoksi."
Vasta joulukuussa 2020, kun pimeästä verkosta löydettiin toinen erä myytäviä salasanoja, jotka ilmeisesti toivat ROMWE-osan rikkomuksesta yli 7,000,000 XNUMX XNUMX tilille, yritys myönsi asiakkailleen, että ne olivat sekoittuneet mitä se lempeästi kutsui a "tietoturvahäiriö."
Mitä tehdä?
Valitettavasti tässä tapauksessa rangaistus ei näytä painottavan paljon "kuka-välittää-kyberturvallisuudesta-kun-voit-voi-vain-maksaa-sakkon?" yrityksiä tekemään oikein, joko ennen kyberturvallisuushäiriötä, sen aikana tai sen jälkeen.
Pitäisikö tällaisesta käytöksestä määrätä korkeampia rangaistuksia?
Niin kauan kuin siellä on yrityksiä, jotka näyttävät pitävän sakkoja yksinkertaisesti liiketoiminnan kustannuksina, jotka voidaan sisällyttää budjettiin etukäteen, ovatko taloudelliset seuraamukset edes oikea tapa?
Vai pitäisikö yritysten, jotka kärsivät tämänkaltaisista rikkomuksista, sitten yrittää estää kolmannen osapuolen tutkijat ja sitten salata koko totuus tapahtuneesta asiakkailtaan…
… yksinkertaisesti estetään käymästä kauppaa rakkauden tai rahan vuoksi?
Kerro mielipiteesi alla olevissa kommenteissa! (Voit pysyä nimettömänä.)
Eikö aika tai henkilökunta riitä?
Lisätietoja Sophosin hallinnoima tunnistus ja vastaus:
24/7 uhkien metsästys, havaitseminen ja reagointi ▶
- blockchain
- coingenius
- peittää
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- tietoturvaloukkauksesta
- tietojen menetys
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- GDPR-vaatimusten noudattaminen
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- New York
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- ROMWE
- Shein
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
- Zoetop
