大人気の「ファストファッション」ブランド「SHEIN」と「ROMWE」の元オーナーである中国企業Zoetopは、ニューヨーク州から1,900,000万ドルの罰金を科された。
レティーシャ・ジェームズ司法長官として それを置く 先週の声明で:
SHEIN と ROMWE の脆弱なデジタル セキュリティ対策により、ハッカーは消費者の個人データを万引きすることが容易になりました。
それだけでは不十分であるかのように、James は次のように続けました。
[P]個人データが盗まれ、Zoetop はそれを隠蔽しようとしました。 消費者の個人データを保護せず、それについて嘘をつくことは流行ではありません。 SHEIN と ROMWE は、詐欺や個人情報の盗難から消費者を保護するために、サイバーセキュリティ対策を強化する必要があります。
率直に言って、Zoetop (現在の米国の SHEIN Distribution Corporation) が、会社の規模、富、およびブランド力を考えると、危険を防止または軽減するための基本的な予防策さえ明らかに欠落していたことを考えると、これほど軽々しく成功したことに驚いています。違反、および違反が判明した後の違反の処理における継続的な不誠実さによって。
部外者によって発見された違反
による Zoetop は、2018 年 XNUMX 月に発生した情報漏えい自体に気付きませんでした。
代わりに、Zoetop の支払い処理業者は、クレジット カード会社と銀行の XNUMX つの情報源からの詐欺報告を受けて、会社が侵害されたことを突き止めました。
クレジット カード会社は、アンダーグラウンド フォーラムで販売されている SHEIN 顧客のカード データを見つけました。これは、データが会社自体またはその IT パートナーの XNUMX つから大量に取得されたことを示唆しています。
そして、銀行はSHEIN(「シャイン」ではなく、「シーイン」と発音します)を特定しました。 CPP 詐欺に遭った多数の顧客の支払い履歴。
CPPはの略です 共通購入ポイント、そしてそれが言っていることを正確に意味します:100人の顧客がカードに対する詐欺を個別に報告し、100人の顧客全員が最近支払いを行った唯一の共通の加盟店が会社Xである場合…
…そうすれば、画期的な英国の疫学者ジョン・スノーが 1854 年のロンドンでのコレラの発生をたどり、 汚染された水ポンプ ソーホーのブロードストリートにあります。
スノーの研究は、病気が単に「汚れた空気を介して広がる」という考えを却下するのに役立ちました。 医学の現実として「細菌理論」を確立し、公衆衛生の考え方に革命をもたらしました。 彼はまた、客観的な測定とテストが原因と結果を結びつけるのにどのように役立つかを示し、将来の研究者が不可能な説明を思いついたり、役に立たない「解決策」を探したりして時間を無駄にしないようにしました.
予防策を講じていない
当然のことながら、会社が侵害を間接的に知ったことを考えると、ニューヨークの調査では、サイバーセキュリティの監視に煩わされていないとして同社を非難しました。 「定期的な外部脆弱性スキャンを実行したり、監査ログを定期的に監視またはレビューしてセキュリティ インシデントを特定したりしていませんでした。」
調査では、Zoetop も次のように報告されています。
- 簡単にクラックできないと考えられる方法でハッシュ化されたユーザー パスワード。 どうやら、パスワード ハッシュは、ユーザーのパスワードを 5 桁のランダム ソルトと組み合わせ、その後に MD8 を 2016 回繰り返すことで構成されていたようです。 パスワード クラッキング愛好家からの報告によると、200,000,000,000 年のハードウェアを備えたスタンドアロンの 5 GPU クラッキング リグは、当時は 20 秒あたり 5 MDXNUMX を処理できたことが示唆されています (ソルトは通常、余分な計算時間を追加しません)。 これは、たった XNUMX 台の専用コンピューターを使用して、XNUMX 日に約 XNUMX 兆のパスワードを試すことに相当します。 (最近のグラフィックス カードを使用すると、現在の MDXNUMX のクラッキング速度は明らかにそれよりも約 XNUMX 倍から XNUMX 倍高速です。)
- 無謀にデータを記録した。 何らかのエラーが発生したトランザクションについて、Zoetop はトランザクション全体をデバッグ ログに保存しました。これには、クレジット カードの詳細がすべて含まれているようです (これには、セキュリティ コード、長い番号、有効期限が含まれていると想定しています)。 しかし、侵害を知った後でさえ、同社はこの種の不正なクレジット カード データがシステム内のどこに保存されているかを突き止めようとはしませんでした。
- インシデント対応計画に煩わされることはありませんでした。 同社は、侵害が発生する前にサイバーセキュリティ対応計画を立てることに失敗しただけでなく、その後も計画を立てることを気にしなかったようです。 「影響を受けた多くの顧客を保護するためのタイムリーな措置を講じることができませんでした。」
- 支払い処理システム内でスパイウェアに感染しました。 調査の説明によると、 「支払いカードデータの流出は、購入時にカードデータを傍受することによって発生したでしょう。」 ご想像のとおり、インシデント対応計画がなかったため、同社はその後、このデータを盗むマルウェアがどれほどうまく機能したかを知ることができませんでしたが、顧客のカードの詳細がダーク Web に表示されたという事実は、攻撃者が成功。
本当のことを言わなかった
同社はまた、攻撃の範囲を知った後、顧客にどのように対処したかについて、不誠実であると厳しく批判されました.
たとえば、会社は次のようになります。
- 6,420,000 ユーザー (実際に注文したユーザー) が影響を受けたと述べ、 ただし、不適切にハッシュされたパスワードを含む 39,000,000 のユーザー アカウント レコードが盗まれたことはわかっていました。
- それらの6.42万人のユーザーに連絡したと述べ、 実際には、カナダ、米国、およびヨーロッパのユーザーのみが通知されました.
- 「お客様のクレジット カード情報が当社のシステムから盗まれたという証拠はありません」と顧客に伝えました。 まさにそれを強く示唆する証拠を提示した XNUMX つの情報源から違反について警告されていたにもかかわらず、.
同社はまた、データを盗むマルウェアに感染したことを知っており、攻撃が何ももたらさなかったという証拠を提示できなかったことにも言及していないようです。
また、デバッグログに完全なカードの詳細を故意に保存することがあったことも明らかにしていません (少なくとも 27,295回、実際)、しかし実際には、それらの不正なログ ファイルをシステム内で追跡して、それらがどこに行き着いたか、または誰がそれらにアクセスした可能性があるかを確認しようとはしませんでした。
侮辱に加えて、調査はさらに、会社が PCI DSS に準拠していないことを発見し (不正なデバッグ ログがそれを確認しました)、PCI フォレンジック調査に提出するように命じられましたが、調査員に必要なアクセスを許可することを拒否しました。彼らの仕事をするために。
裁判所の文書が皮肉を込めて指摘しているように、 「[n]それにもかかわらず、実施した限定的なレビューで、[PCI 認定のフォレンジック調査員]は、Zoetop のシステムが PCI DSS に準拠していないいくつかの領域を発見しました。」
おそらく最悪なのは、同社が 2020 年 2018 月にダーク Web で販売されている ROMWE Web サイトからパスワードを発見し、最終的に、このデータはおそらく XNUMX 年の侵害で盗まれ、すでに隠蔽しようとしていたことを認識したときです…
…その対応は、数か月間、被害者を非難するログイン プロンプトを影響を受けるユーザーに提示することでした。 「あなたのパスワードはセキュリティ レベルが低く、危険にさらされている可能性があります。 ログインパスワードを変更してください。」
そのメッセージはその後、次のような気晴らしの声明に変更されました。 「あなたのパスワードは 365 日以上更新されていません。 あなたの保護のために、今すぐ更新してください。」
2020 年 7,000,000 月になって初めて、販売用のパスワードの XNUMX 回目のトランシェがダーク ウェブで発見され、ROMWE の侵害の一部が XNUMX 以上のアカウントにもたらされたようです。それが当たり障りのないものと呼んだもの 「データセキュリティインシデント」
何をするか?
残念ながら、この場合の処罰は、「罰金を払えばいいのに、サイバーセキュリティを気にかけているのは誰?」に大きな圧力をかけているようには見えません。 サイバーセキュリティインシデントの前、最中、後を問わず、企業は正しい行動をとります。
この種の行為に対する罰則はより高くなるべきですか?
罰金を、前もって予算に組み込むことができるビジネスのコストとして単純に扱っているように見えるビジネスがある限り、金銭的な罰則は正しい方法でさえありますか?
あるいは、この種の侵害に見舞われた企業は、第三者の調査を妨害し、顧客から起こったことの完全な真実を隠そうとする必要があります...
…単に、愛やお金のための取引を禁止されるだけですか?
以下のコメントであなたの意見をお聞かせください! (匿名でも構いません。)
時間やスタッフが足りない?
詳細については、こちらから ソフォスが管理する検出と対応:
24時間年中無休の脅威のハンティング、検出、および対応 ▶
