A Zoetop kínai céget, a rendkívül népszerű SHEIN és ROMWE „fast fashion” márkák egykori tulajdonosát 1,900,000 millió XNUMX XNUMX dolláros pénzbírsággal sújtotta New York állam.
Letitia James főügyészként tedd múlt heti közleményében:
A SHEIN és a ROMWE gyenge digitális biztonsági intézkedései megkönnyítették a hackerek számára, hogy ellopják a vásárlók személyes adatait.
Mintha ez nem lenne elég rossz, James így folytatta:
[P]ellopták a személyes adatokat, és Zoetop megpróbálta eltitkolni azokat. A fogyasztók személyes adatainak védelmének elmulasztása és hazudozása nem trendi. A SHEIN-nek és a ROMWE-nek meg kell erősítenie kiberbiztonsági intézkedéseit, hogy megvédje a fogyasztókat a csalással és a személyazonosság-lopással szemben.
Őszintén szólva, meglepődtünk, hogy a Zoetop (jelenleg SHEIN Distribution Corporation az Egyesült Államokban) ilyen könnyedén indult, figyelembe véve a vállalat méretét, gazdagságát és márkaerejét, és még az alapvető óvintézkedések nyilvánvaló hiányát is, amelyek megelőzhették vagy csökkenthették volna a veszélyt. a jogsértés miatt, és a jogsértés kezelésében tanúsított folyamatos tisztességtelensége, miután az ismertté vált.
A jogsértést kívülállók fedezték fel
Szerint a New York-i Főügyész Hivatala, Zoetop még önmagában sem vette észre a jogsértést, amely 2018 júniusában történt.
Ehelyett a Zoetop fizetésfeldolgozója két forrásból – egy hitelkártya-társaságtól és egy banktól – érkezett csalási jelentések nyomán jött rá, hogy a céget feltörték.
A hitelkártya-társaság egy földalatti fórumon bukkant a SHEIN ügyfelei kártyaadataira eladásra, ami arra utalt, hogy az adatokat tömegesen szerezték be a cégtől, vagy annak valamelyik informatikai partnerétől.
És a bank azonosította a SHEIN-t (ezt úgy ejtik, hogy „she in”, ha még nem dolgoztad volna ki, nem „shine”). CPP számos becsapott ügyfél fizetési történetében.
A CPP a rövidítése közös vásárlási hely, és pontosan azt jelenti, amit ír: ha 100 ügyfél önállóan jelenti be a kártyájával kapcsolatos csalást, és ha az egyetlen közös kereskedő, akinek a közelmúltban mind a 100 ügyfél fizetett, az X cég…
…akkor közvetett bizonyítékai vannak arra vonatkozóan, hogy X a „csalás kitörésének” valószínű oka, ugyanúgy, ahogy az úttörő brit epidemiológus, John Snow egy 1854-es londoni kolerajárványra vezethető vissza. szennyezett vízszivattyú a Broad Street-ben, Soho államban.
Snow munkája segített elvetni azt az elképzelést, hogy a betegségek egyszerűen „a rossz levegőn keresztül terjednek”; orvosi valósággá alakította a „csíraelméletet”, és forradalmasította a közegészségügyi gondolkodást. Azt is bemutatta, hogy az objektív mérés és tesztelés hogyan segíthet az okok és a hatások összekapcsolásában, így biztosítva, hogy a jövő kutatói ne vesztegessenek időt arra, hogy lehetetlen magyarázatokat találjanak ki, és haszontalan „megoldásokat” keressenek.
Nem tett óvintézkedéseket
Nem meglepő módon, mivel a vállalat másodkézből szerzett tudomást a jogsértésről, a New York-i vizsgálat azt rótta fel a vállalkozásnak, hogy nem foglalkozott a kiberbiztonsági megfigyeléssel, mivel az „Nem futtatott rendszeres külső sebezhetőségi vizsgálatokat, és nem figyelte rendszeresen vagy nem vizsgálta felül az auditnaplókat a biztonsági incidensek azonosítása érdekében.”
A vizsgálat arról is beszámolt, hogy Zoetop:
- A felhasználói jelszavakat túl könnyen feltörhető módon kivonatolta. Úgy tűnik, a jelszókivonat abból állt, hogy a felhasználó jelszavát egy kétjegyű véletlenszerű sóval kombinálták, majd az MD5 egy ismétlését követte. A jelszavak feltörését kedvelők jelentései arra utalnak, hogy egy 8-os hardverrel ellátott, önálló, 2016 GPU-s feltörő berendezés akkoriban másodpercenként 200,000,000,000 5 20 5 MDXNUMX-öt tudott megtenni (a só általában nem ad plusz számítási időt). Ez annyit tesz, mintha napi XNUMX kvadrillió jelszót próbálnánk ki egyetlen speciális számítógép használatával. (A mai MDXNUMX repedési sebessége a legújabb grafikus kártyák segítségével láthatóan öt-tízszer gyorsabb ennél.)
- Meggondolatlanul naplózták az adatokat. Azoknál a tranzakcióknál, amelyeknél valamilyen hiba történt, a Zoetop a teljes tranzakciót egy hibakeresési naplóba mentette, látszólag a teljes hitelkártyaadatokat is beleértve (feltételezzük, hogy ez tartalmazza a biztonsági kódot, valamint a hosszú számot és a lejárati dátumot). De még azután sem, hogy tudomást szerzett a jogsértésről, a cég nem próbálta kideríteni, hogy hol tárolhatta rendszereiben az efféle csaló kártyaadatokat.
- Nem lehetett bajlódni az incidens-elhárítási tervvel. A vállalatnak nemcsak nem volt kiberbiztonsági választerve a jogsértés megtörténte előtt, de láthatóan nem is foglalkozott azzal, hogy utólag is előrukkoljon, a vizsgálat szerint „Nem sikerült időben intézkedni az érintett ügyfelek védelmében.”
- Spyware fertőzést szenvedett a fizetésfeldolgozó rendszerében. Mint a nyomozás kifejtette, „A fizetési kártya adatainak bármilyen kiszűrése [így] úgy történt volna, hogy a kártyaadatokat a vásárlás helyén lehallgatták volna.” Elképzelhető, hogy az incidensreagálási terv hiányában a cég nem tudta megmondani, mennyire működött jól ez az adatlopó kártevő, bár az a tény, hogy az ügyfelek kártyaadatai megjelentek a sötét weben, arra utal, hogy a támadók sikeres.
nem mondott igazat
A céget heves bírálatok érték azért is, mert tisztességtelenül bánt az ügyfelekkel, miután tudta a támadás mértékét.
Például a cég:
- Kijelentette, hogy 6,420,000 XNUMX XNUMX felhasználót (azokat, akik ténylegesen megrendeltek) érintettek, bár tudta, hogy 39,000,000 XNUMX XNUMX felhasználói fiók rekordját, köztük a rosszul kivonatolt jelszavakat is ellopták.
- Azt mondta, hogy felvette a kapcsolatot azzal a 6.42 millió felhasználóval, igazából csak a kanadai, amerikai és európai felhasználókat tájékoztatták.
- Közölte az ügyfelekkel, hogy „nincs bizonyíték arra, hogy hitelkártyaadatait elvették a rendszerünkből”, annak ellenére, hogy két forrás figyelmeztette a jogsértésre, és bizonyítékokat mutatott be, amelyek pontosan ezt sugallják.
A cég, úgy tűnik, elmulasztotta megemlíteni, hogy tudta, hogy adatlopó kártevő fertőzést szenvedett el, és nem tudott bizonyítékot felmutatni arra, hogy a támadás nem vezetett eredményre.
Azt sem fedte fel, hogy néha tudatosan elmentette a teljes kártyaadatokat a hibakeresési naplókban (legalábbis 27,295 időkValójában), de valójában nem próbálta meg felkutatni a rendszereiben azokat a szélhámos naplófájlokat, hogy lássa, hová kerültek, vagy ki férhetett hozzájuk.
A sértegetés növelése érdekében a vizsgálat azt is megállapította, hogy a vállalat nem volt PCI DSS-kompatibilis (erről a hibás hibakeresési naplói gondoskodtak), elrendelték, hogy alávesse magát PCI törvényszéki vizsgálatnak, de aztán megtagadta a szükséges hozzáférést a nyomozóknak. hogy végezzék a munkájukat.
Amint azt a bírósági iratok fanyarul megjegyzik, "[n]az általa végzett korlátozott felülvizsgálat során a [PCI-minősítésű törvényszéki nyomozó] több olyan területet is talált, ahol a Zoetop rendszerei nem kompatibilisek a PCI DSS-vel."
Talán a legrosszabb az egészben, amikor a vállalat 2020 júniusában a sötét weben eladásra kínált jelszavakat fedezett fel a ROMWE webhelyéről, és végül rájött, hogy ezeket az adatokat valószínűleg a 2018-as jogsértés során lopták el, amelyet már megpróbált leplezni…
…a válasza több hónapon keresztül az volt, hogy az érintett felhasználóknak egy áldozathibáztató bejelentkezési felszólítást mutatott be: „Jelszava alacsony biztonsági szinttel rendelkezik, és veszélyben lehet. Kérjük, változtassa meg bejelentkezési jelszavát."
Ezt az üzenetet később egy elterelő nyilatkozatra változtatták, amely azt mondta: „A jelszavad több mint 365 napja nem frissült. Az Ön védelme érdekében kérjük, frissítse most."
A vállalat csak 2020 decemberében ismerte el ügyfeleinek, hogy összekeverték őket a sötét weben, miután a sötét weben találtak egy második részletet eladó jelszavakról, amelyek nyilvánvalóan több mint 7,000,000 XNUMX XNUMX fiókra hozták a ROMWE részét. amit nyájasan a „Adatbiztonsági incidens”.
Mit kell tenni?
Sajnos úgy tűnik, hogy ebben az esetben a büntetés nem gyakorol túl nagy nyomást a „kit érdekel-a-kiberbiztonság-mikor-csak-megfizetheti-e a bírságot?”-ra? a vállalatokat, hogy a helyesen cselekedjenek, akár egy kiberbiztonsági incidens előtt, alatt vagy után.
Kell-e magasabb büntetéseket kiszabni az ilyen viselkedésért?
Amíg vannak olyan vállalkozások, amelyek úgy tűnik, hogy a pénzbírságokat egyszerűen üzleti költségként kezelik, amelyet előre be lehet dolgozni a költségvetésbe, a pénzügyi szankciók a helyes út?
Vagy az ilyen jogsértéseket elszenvedő cégeknek meg kell akadályozniuk a külső nyomozókat, majd el kell titkolniuk ügyfeleik előtt a történtek teljes igazságát…
…egyszerûen megakadályozzák, hogy egyáltalán kereskedjenek, szerelemért vagy pénzért?
Mondja el véleményét az alábbi megjegyzésekben! (Névtelen maradhat.)
Nincs elég idő vagy személyzet?
Tudjon meg többet Sophos felügyelt észlelés és válasz:
24 órás fenyegetésvadászat, észlelés és reagálás ▶
- blockchain
- coingenius
- álcázás
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- adatok megsértése
- adatvesztés
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- GDPR megfelelés
- Kaspersky
- malware
- McAfee
- Meztelen biztonság
- New York
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- ROMWE
- Shein
- VPN
- A honlap biztonsága
- zephyrnet
- Zoetop
