L'entreprise chinoise Zoetop, ancienne propriétaire des marques de "fast fashion" SHEIN et ROMWE très populaires, a été condamnée à une amende de 1,900,000 XNUMX XNUMX $ par l'État de New York.
En tant que procureur général Letitia James le mettre dans un communiqué la semaine dernière :
Les faibles mesures de sécurité numérique de SHEIN et ROMWE ont permis aux pirates de voler facilement les données personnelles des consommateurs.
Comme si cela ne suffisait pas, James a poursuivi en disant :
Des données personnelles ont été volées et Zoetop a tenté de les dissimuler. Ne pas protéger les données personnelles des consommateurs et mentir à ce sujet n'est pas à la mode. SHEIN et ROMWE doivent renforcer leurs mesures de cybersécurité pour protéger les consommateurs contre la fraude et le vol d'identité.
Franchement, nous sommes surpris que Zoetop (maintenant SHEIN Distribution Corporation aux États-Unis) s'en soit tiré si légèrement, compte tenu de la taille, de la richesse et de la puissance de la marque de l'entreprise, de son manque apparent de précautions même élémentaires qui auraient pu prévenir ou réduire le danger posé. par la violation, et sa malhonnêteté persistante dans la gestion de la violation après qu'elle a été connue.
Violation découverte par des étrangers
Selon le bureau du procureur général de New York, Zoetop n'a même pas remarqué la violation, qui s'est produite en juin 2018, par elle-même.
Au lieu de cela, le processeur de paiement de Zoetop a découvert que l'entreprise avait été piratée, à la suite de rapports de fraude provenant de deux sources : une société de cartes de crédit et une banque.
La société de cartes de crédit est tombée sur les données de carte des clients SHEIN à vendre sur un forum clandestin, suggérant que les données avaient été acquises en masse auprès de la société elle-même ou de l'un de ses partenaires informatiques.
Et la banque a identifié SHEIN (prononcé "elle dans", si vous ne l'aviez pas déjà compris, pas "briller") comme étant ce qu'on appelle un RPC dans les historiques de paiement de nombreux clients qui avaient été escroqués.
CPP est l'abréviation de point d'achat commun, et signifie exactement ce qu'il dit : si 100 clients signalent indépendamment une fraude à leur carte, et si le seul commerçant commun à qui les 100 clients ont récemment effectué des paiements est la société X…
… alors vous avez des preuves circonstancielles que X est une cause probable de «l'épidémie de fraude», de la même manière que l'épidémiologiste britannique révolutionnaire John Snow a retracé une épidémie de choléra de 1854 à Londres jusqu'à un pompe à eau polluée dans Broad Street, Soho.
Le travail de Snow a contribué à écarter l'idée que les maladies se « propagent simplement dans l'air vicié » ; établi la « théorie des germes » comme une réalité médicale et révolutionné la réflexion sur la santé publique. Il a également montré comment des mesures et des tests objectifs pouvaient aider à relier les causes et les effets, garantissant ainsi que les futurs chercheurs ne perdraient pas de temps à trouver des explications impossibles et à chercher des « solutions » inutiles.
N'a pas pris de précautions
Sans surprise, étant donné que l'entreprise a découvert la violation de seconde main, l'enquête de New York a fustigé l'entreprise pour ne pas s'être souciée de la surveillance de la cybersécurité, étant donné qu'elle "n'a pas exécuté d'analyses de vulnérabilité externes régulières ni surveillé ou examiné régulièrement les journaux d'audit pour identifier les incidents de sécurité."
L'enquête a également rapporté que Zoetop :
- Mots de passe utilisateur hachés d'une manière considérée comme trop facile à déchiffrer. Apparemment, le hachage du mot de passe consistait à combiner le mot de passe de l'utilisateur avec un sel aléatoire à deux chiffres, suivi d'une itération de MD5. Les rapports des passionnés de cracking de mots de passe suggèrent qu'une plate-forme de cracking autonome à 8 GPU avec du matériel 2016 pourrait produire 200,000,000,000 5 20 5 MDXNUMX par seconde à l'époque (le sel n'ajoute généralement pas de temps de calcul supplémentaire). Cela équivaut à essayer près de XNUMX quadrillions de mots de passe par jour en utilisant un seul ordinateur spécialisé. (Les taux de craquage MDXNUMX d'aujourd'hui sont apparemment environ cinq à dix fois plus rapides que cela, en utilisant des cartes graphiques récentes.)
- Données enregistrées imprudemment. Pour les transactions où une sorte d'erreur s'est produite, Zoetop a enregistré l'intégralité de la transaction dans un journal de débogage, y compris apparemment les détails complets de la carte de crédit (nous supposons que cela comprenait le code de sécurité ainsi que le numéro long et la date d'expiration). Mais même après avoir eu connaissance de la violation, la société n'a pas cherché à savoir où elle aurait pu stocker ce type de données de carte de paiement frauduleuses dans ses systèmes.
- Ne pouvait pas être dérangé par un plan de réponse aux incidents. Non seulement l'entreprise n'a pas réussi à disposer d'un plan d'intervention en matière de cybersécurité avant que la violation ne se produise, mais elle n'a apparemment pas pris la peine d'en proposer un par la suite, l'enquête indiquant qu'il "n'a pas pris de mesures en temps opportun pour protéger de nombreux clients touchés."
- A subi une infection par un logiciel espion dans son système de traitement des paiements. Comme l'a expliqué l'enquête, "toute exfiltration de données de carte de paiement se serait [donc] produite en interceptant les données de carte au point d'achat." Comme vous pouvez l'imaginer, en l'absence d'un plan de réponse aux incidents, l'entreprise n'a pas été en mesure de dire par la suite dans quelle mesure ce malware voleur de données avait fonctionné, bien que le fait que les détails de la carte des clients soient apparus sur le dark web suggère que les attaquants étaient couronné de succès.
N'a pas dit la vérité
La société a également été vertement critiquée pour sa malhonnêteté dans la façon dont elle a traité les clients après avoir pris connaissance de l'étendue de l'attaque.
Par exemple, l'entreprise :
- A déclaré que 6,420,000 XNUMX XNUMX utilisateurs (ceux qui avaient effectivement passé des commandes) étaient concernés, bien qu'il sache que 39,000,000 XNUMX XNUMX d'enregistrements de comptes d'utilisateurs, y compris ces mots de passe mal maîtrisés, ont été volés.
- A déclaré qu'il avait contacté ces 6.42 millions d'utilisateurs, alors qu'en fait, seuls les utilisateurs au Canada, aux États-Unis et en Europe ont été informés.
- A dit aux clients qu'il n'avait "aucune preuve que les informations de votre carte de crédit ont été extraites de nos systèmes", malgré avoir été alerté de la violation par deux sources qui ont présenté des preuves suggérant fortement exactement cela.
La société, semble-t-il, a également omis de mentionner qu'elle savait qu'elle avait subi une infection par un logiciel malveillant voleur de données et qu'elle n'avait pas été en mesure de produire la preuve que l'attaque n'avait rien donné.
Il a également omis de divulguer qu'il enregistrait parfois sciemment tous les détails de la carte dans les journaux de débogage (au moins 27,295 fois, en fait), mais n'a pas réellement essayé de retrouver ces fichiers journaux malveillants dans ses systèmes pour voir où ils se sont retrouvés ou qui aurait pu y avoir accès.
Pour ajouter une blessure à l'insulte, l'enquête a en outre révélé que la société n'était pas conforme à la norme PCI DSS (ses journaux de débogage malveillants s'en assuraient), a reçu l'ordre de se soumettre à une enquête médico-légale PCI, mais a ensuite refusé de permettre aux enquêteurs l'accès dont ils avaient besoin. pour faire leur travail.
Comme le notent ironiquement les documents judiciaires, "[n]éanmoins, dans l'examen limité qu'il a mené, [l'enquêteur judiciaire qualifié PCI] a découvert plusieurs domaines dans lesquels les systèmes de Zoetop n'étaient pas conformes à la norme PCI DSS."
Peut-être le pire de tout, lorsque la société a découvert des mots de passe de son site Web ROMWE en vente sur le dark web en juin 2020, et a finalement réalisé que ces données avaient probablement été volées lors de la violation de 2018 qu'elle avait déjà tenté de dissimuler…
… sa réponse, pendant plusieurs mois, a été de présenter aux utilisateurs concernés une invite de connexion accusant la victime disant, "Votre mot de passe a un niveau de sécurité faible et peut être à risque. Veuillez changer votre mot de passe de connexion ».
Ce message a ensuite été remplacé par une déclaration de diversion disant : "Votre mot de passe n'a pas été mis à jour depuis plus de 365 jours. Pour votre protection, veuillez le mettre à jour maintenant.
Ce n'est qu'en décembre 2020, après qu'une deuxième tranche de mots de passe à vendre a été trouvée sur le dark web, portant apparemment la partie ROMWE de la brèche à plus de 7,000,000 XNUMX XNUMX de comptes, que l'entreprise a admis à ses clients qu'ils avaient été mêlés à ce qu'il appelait benoîtement un « incident de sécurité des données ».
Que faire?
Malheureusement, la punition dans ce cas ne semble pas mettre beaucoup de pression sur "qui-se-souvient-de-la-cybersécurité-quand-vous-pouvez-juste-payer-l-amende ?" entreprises à faire ce qu'il faut, que ce soit avant, pendant ou après un incident de cybersécurité.
Les sanctions pour ce genre de comportement devraient-elles être plus élevées?
Tant qu'il y a des entreprises qui semblent traiter les amendes simplement comme un coût d'activité pouvant être intégré au budget à l'avance, les sanctions financières sont-elles même la bonne voie à suivre ?
Ou les entreprises qui subissent des violations de ce type devraient-elles essayer d'empêcher les enquêteurs tiers, puis de cacher toute la vérité sur ce qui s'est passé à leurs clients…
…être simplement empêché de faire du commerce, pour l'amour ou pour l'argent ?
Donnez votre avis dans les commentaires ci-dessous ! (Vous pouvez rester anonyme.)
Pas assez de temps ou de personnel ?
En savoir plus sur Détection et réponse gérées par Sophos:
Recherche, détection et réponse aux menaces 24h/7 et XNUMXj/XNUMX ▶
- blockchain
- cognitif
- Couvrir
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- violation de données
- La perte de données
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Conformité GDPR
- Kaspersky
- malware
- Mcafee
- Sécurité nue
- New York
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- ROMWE
- SHEIN
- VPN
- la sécurité d'un site web
- zéphyrnet
- Zoétop
