डेटा उल्लंघन के बारे में झूठ बोलने के लिए फैशन ब्रांड शीन पर $1.9m का जुर्माना लगाया गया

बेतहाशा लोकप्रिय SHEIN और ROMWE "फास्ट फैशन" ब्रांडों के पूर्व मालिक चीनी कंपनी Zoetop पर न्यूयॉर्क राज्य द्वारा $ 1,900,000 का जुर्माना लगाया गया है।

अटॉर्नी जनरल लेटिटिया जेम्स के रूप में इसे रखें पिछले हफ्ते एक बयान में:

SHEIN और ROMWE के कमजोर डिजिटल सुरक्षा उपायों ने हैकर्स के लिए उपभोक्ताओं के व्यक्तिगत डेटा की चोरी करना आसान बना दिया है।

जैसे कि वे काफी बुरे नहीं थे, जेम्स ने आगे कहा:

[पी] व्यक्तिगत डेटा चोरी हो गया और ज़ोटोप ने इसे कवर करने की कोशिश की। उपभोक्ताओं के व्यक्तिगत डेटा की सुरक्षा में विफल रहना और इसके बारे में झूठ बोलना ट्रेंडी नहीं है। उपभोक्ताओं को धोखाधड़ी और पहचान की चोरी से बचाने के लिए SHEIN और ROMWE को अपने साइबर सुरक्षा उपायों को मजबूत करना चाहिए।

सच कहूँ तो, हमें आश्चर्य है कि Zoetop (अब अमेरिका में SHEIN डिस्ट्रीब्यूशन कॉरपोरेशन) कंपनी के आकार, धन और ब्रांड शक्ति को देखते हुए इतने हल्के ढंग से उतर गया, यहां तक ​​कि बुनियादी सावधानियों की भी कमी जो खतरे को रोक या कम कर सकती थी। उल्लंघन द्वारा, और इसके ज्ञात होने के बाद उल्लंघन को संभालने में इसकी चल रही बेईमानी।

बाहरी लोगों द्वारा खोजा गया उल्लंघन

के अनुसार न्यूयॉर्क के अटॉर्नी जनरल के कार्यालय, ज़ोएटोप ने उल्लंघन की सूचना भी नहीं दी, जो जून 2018 में हुआ था।

इसके बजाय, दो स्रोतों से धोखाधड़ी की रिपोर्ट के बाद, ज़ोएटोप के भुगतान प्रोसेसर को पता चला कि कंपनी का उल्लंघन किया गया था: एक क्रेडिट कार्ड कंपनी और एक बैंक।

क्रेडिट कार्ड कंपनी को एक भूमिगत मंच पर बिक्री के लिए SHEIN ग्राहकों के कार्ड डेटा का पता चला, यह सुझाव देते हुए कि डेटा कंपनी से या उसके किसी आईटी भागीदार से थोक में प्राप्त किया गया था।

और बैंक ने शीन की पहचान की (उच्चारण "वह अंदर", यदि आपने पहले से ही काम नहीं किया था, "चमक" नहीं) जिसे एक के रूप में जाना जाता है सीपीपी कई ग्राहकों के भुगतान इतिहास में जिनके साथ धोखाधड़ी की गई थी।

सीपीपी के लिए छोटा है खरीद का सामान्य बिंदु, और इसका अर्थ ठीक वही है जो यह कहता है: यदि 100 ग्राहक स्वतंत्र रूप से अपने कार्ड के खिलाफ धोखाधड़ी की रिपोर्ट करते हैं, और यदि एकमात्र सामान्य व्यापारी जिसे सभी 100 ग्राहकों ने हाल ही में भुगतान किया है, वह कंपनी X है ...

...तो आपके पास परिस्थितिजन्य साक्ष्य हैं कि एक्स "धोखाधड़ी के प्रकोप" का एक संभावित कारण है, उसी तरह जिस तरह से ब्रिटिश महामारी विज्ञानी जॉन स्नो ने लंदन में 1854 में हैजा के प्रकोप का पता लगाया था। प्रदूषित पानी पंप ब्रॉड स्ट्रीट, सोहो में।

स्नो के काम ने इस विचार को खारिज करने में मदद की कि मृत्यु केवल "गंदी हवा से फैलती है"; एक चिकित्सा वास्तविकता के रूप में "रोगाणु सिद्धांत" की स्थापना की, और सार्वजनिक स्वास्थ्य पर क्रांतिकारी सोच की स्थापना की। उन्होंने यह भी दिखाया कि कैसे उद्देश्य माप और परीक्षण कारणों और प्रभावों को जोड़ने में मदद कर सकते हैं, इस प्रकार यह सुनिश्चित करते हैं कि भविष्य के शोधकर्ताओं ने असंभव स्पष्टीकरण के साथ आने और बेकार "समाधान" की तलाश में समय बर्बाद नहीं किया।

सावधानी नहीं बरती

अप्रत्याशित रूप से, यह देखते हुए कि कंपनी को दूसरे हाथ से उल्लंघन के बारे में पता चला, न्यूयॉर्क की जांच ने साइबर सुरक्षा निगरानी से परेशान न होने के लिए व्यवसाय को खराब कर दिया, यह देखते हुए कि यह "नियमित बाहरी भेद्यता स्कैन नहीं चलाए या सुरक्षा घटनाओं की पहचान करने के लिए नियमित रूप से ऑडिट लॉग की निगरानी या समीक्षा नहीं की।"

जांच ने यह भी बताया कि Zoetop:

• एक तरह से हैश किए गए यूजर पासवर्ड को क्रैक करना बहुत आसान माना जाता है। जाहिर है, पासवर्ड हैशिंग में उपयोगकर्ता के पासवर्ड को दो अंकों के यादृच्छिक नमक के साथ जोड़ना शामिल था, इसके बाद एमडी 5 का एक पुनरावृत्ति होता था। पासवर्ड क्रैकिंग के शौकीनों की रिपोर्ट बताती है कि 8 हार्डवेयर के साथ एक स्टैंडअलोन 2016-GPU क्रैकिंग रिग 200,000,000,000 MD5s के माध्यम से दूसरी बार मंथन कर सकता है (नमक आमतौर पर कोई अतिरिक्त गणना समय नहीं जोड़ता है)। यह सिर्फ एक विशेष उद्देश्य वाले कंप्यूटर का उपयोग करके एक दिन में लगभग 20 क्वाड्रिलियन पासवर्ड आज़माने के बराबर है। (आज की MD5 क्रैकिंग दर हाल के ग्राफिक्स कार्ड का उपयोग करते हुए, उससे लगभग पांच से दस गुना तेज है।)
• लापरवाही से डेटा लॉग किया। लेन-देन के लिए जहां किसी प्रकार की त्रुटि हुई, ज़ोएटॉप ने पूरे लेन-देन को डिबग लॉग में सहेजा, जाहिर तौर पर पूर्ण क्रेडिट कार्ड विवरण सहित (हम मान रहे हैं कि इसमें सुरक्षा कोड के साथ-साथ लंबी संख्या और समाप्ति तिथि भी शामिल है)। लेकिन उल्लंघन के बारे में जानने के बाद भी, कंपनी ने यह पता लगाने की कोशिश नहीं की कि उसने इस तरह के नकली भुगतान कार्ड डेटा को अपने सिस्टम में कहाँ संग्रहीत किया होगा।
• एक घटना प्रतिक्रिया योजना से परेशान नहीं किया जा सका। उल्लंघन होने से पहले कंपनी न केवल साइबर सुरक्षा प्रतिक्रिया योजना बनाने में विफल रही, बल्कि स्पष्ट रूप से बाद में एक के साथ आने की जहमत नहीं उठाई, जांच में कहा गया कि यह "प्रभावित ग्राहकों में से कई की सुरक्षा के लिए समय पर कार्रवाई करने में विफल।"
• अपने भुगतान प्रसंस्करण प्रणाली के अंदर एक स्पाइवेयर संक्रमण का सामना करना पड़ा। जैसा कि जांच ने समझाया, "भुगतान कार्ड डेटा का कोई भी बहिष्करण [इस प्रकार] खरीद के बिंदु पर कार्ड डेटा को इंटरसेप्ट करके हुआ होगा।" जैसा कि आप कल्पना कर सकते हैं, एक घटना प्रतिक्रिया योजना की कमी को देखते हुए, कंपनी बाद में यह बताने में सक्षम नहीं थी कि यह डेटा-चोरी करने वाले मैलवेयर ने कितनी अच्छी तरह काम किया था, हालांकि तथ्य यह है कि ग्राहकों के कार्ड विवरण डार्क वेब पर दिखाई देते हैं, यह दर्शाता है कि हमलावर थे सफल।

सच नहीं बताया

कंपनी की इस बेईमानी के लिए भी आलोचना की गई थी कि हमले की सीमा जानने के बाद उसने ग्राहकों के साथ कैसा व्यवहार किया।

उदाहरण के लिए, कंपनी:

• कहा कि 6,420,000 उपयोगकर्ता (जिन्होंने वास्तव में ऑर्डर दिए थे) प्रभावित हुए थे, हालांकि यह जानता था कि 39,000,000 उपयोगकर्ता खाता रिकॉर्ड, जिसमें अयोग्य रूप से हैश किए गए पासवर्ड शामिल हैं, चोरी हो गए थे।
• कहा कि उसने उन 6.42 मिलियन उपयोगकर्ताओं से संपर्क किया था, जब वास्तव में केवल कनाडा, अमेरिका और यूरोप के उपयोगकर्ताओं को सूचित किया गया था।
• ग्राहकों को बताया कि उसके पास "कोई सबूत नहीं है कि आपके क्रेडिट कार्ड की जानकारी हमारे सिस्टम से ली गई थी", दो स्रोतों द्वारा उल्लंघन के प्रति सचेत होने के बावजूद, जिन्होंने दृढ़ता से यह सुझाव देते हुए साक्ष्य प्रस्तुत किए।

ऐसा लगता है कि कंपनी ने यह उल्लेख करने की भी उपेक्षा की कि उसे पता था कि उसे डेटा-चोरी करने वाले मैलवेयर संक्रमण का सामना करना पड़ा था और वह इस बात का सबूत देने में असमर्थ थी कि हमले से कुछ भी नहीं निकला था।

यह खुलासा करने में भी विफल रहा कि यह कभी-कभी जानबूझकर डिबग लॉग में पूर्ण कार्ड विवरण सहेजता है (कम से कम 27,295 बार, वास्तव में), लेकिन वास्तव में उन दुष्ट लॉग फ़ाइलों को अपने सिस्टम में नीचे ट्रैक करने का प्रयास नहीं किया, यह देखने के लिए कि वे कहां समाप्त हुए या उन तक कौन पहुंच सकता है।

अपमान को चोट पहुंचाने के लिए, जांच में आगे पाया गया कि कंपनी पीसीआई डीएसएस के अनुरूप नहीं थी (इसके दुष्ट डिबग लॉग्स ने इसे सुनिश्चित किया), एक पीसीआई फोरेंसिक जांच के लिए प्रस्तुत करने का आदेश दिया गया था, लेकिन फिर जांचकर्ताओं को उनके लिए आवश्यक पहुंच की अनुमति देने से इनकार कर दिया। अपना काम करने के लिए।

जैसा कि अदालत के दस्तावेज अजीब तरह से नोट करते हैं, "[एन] फिर भी, इसकी सीमित समीक्षा में, [पीसीआई-योग्य फोरेंसिक अन्वेषक] ने कई क्षेत्रों को पाया जिसमें ज़ोएटोप के सिस्टम पीसीआई डीएसएस के अनुरूप नहीं थे।"

शायद सबसे बुरा, जब कंपनी ने जून 2020 में डार्क वेब पर बिक्री के लिए अपनी ROMWE वेबसाइट से पासवर्ड की खोज की, और अंततः महसूस किया कि यह डेटा संभवतः 2018 के उल्लंघन में वापस चुरा लिया गया था जिसे उसने पहले ही कवर करने की कोशिश की थी ...

... इसकी प्रतिक्रिया, कई महीनों के लिए, प्रभावित उपयोगकर्ताओं को पीड़ित-दोषपूर्ण लॉगिन संकेत के साथ पेश करना था, "आपके पासवर्ड का सुरक्षा स्तर कम है और यह जोखिम में हो सकता है। कृपया अपना लॉगिन पासवर्ड बदलें"।

उस संदेश को बाद में यह कहते हुए एक विचलित बयान में बदल दिया गया, "आपका पासवर्ड 365 दिनों से अधिक समय से अपडेट नहीं किया गया है। आपकी सुरक्षा के लिए, कृपया इसे अभी अपडेट करें।"

केवल दिसंबर 2020 में, डार्क वेब पर पासवर्ड-फॉर-सेल की दूसरी किश्त मिलने के बाद, जाहिर तौर पर ROMWE के उल्लंघन के हिस्से को 7,000,000 से अधिक खातों में लाया गया, क्या कंपनी ने अपने ग्राहकों को स्वीकार किया कि उन्हें इसमें मिलाया गया था इसे नम्रतापूर्वक a . के रूप में संदर्भित किया जाता है "डेटा सुरक्षा घटना।"

क्या करना है?

दुर्भाग्य से, इस मामले में सजा "कौन परवाह करता है-साइबर सुरक्षा-कब-आप-कर सकते हैं-ठीक-ठीक-ठीक है?" पर ज्यादा दबाव नहीं डालता है। साइबर सुरक्षा घटना से पहले, उसके दौरान या बाद में, कंपनियों को सही काम करने के लिए।

क्या इस तरह के व्यवहार के लिए दंड अधिक होना चाहिए?

जब तक वहाँ ऐसे व्यवसाय हैं जो जुर्माना को केवल एक लागत-व्यवसाय के रूप में मानते हैं जिसे बजट में अग्रिम रूप से काम किया जा सकता है, क्या वित्तीय दंड भी जाने का सही तरीका है?

या ऐसी कंपनियों को चाहिए जो इस तरह के उल्लंघनों का शिकार हों, फिर तीसरे पक्ष के जांचकर्ताओं को बाधित करने की कोशिश करें, और फिर अपने ग्राहकों से जो हुआ उसकी पूरी सच्चाई को छिपाने के लिए ...

... बस प्यार या पैसे के लिए व्यापार करने से बिल्कुल भी रोका जा सकता है?

नीचे टिप्पणी में अपनी बात रखें! (आप गुमनाम रह सकते हैं।)

---

पर्याप्त समय या स्टाफ नहीं?
इस बारे में अधिक जानें सोफोस प्रबंधित पहचान और प्रतिक्रिया:
24/7 खतरे का शिकार, पता लगाना और प्रतिक्रिया  ▶

---