패션 브랜드 SHEIN, 데이터 침해에 대한 거짓말로 1.9만 달러 벌금 부과

플라톤에 의해 재발행

팔로워 : 0

매우 인기 있는 SHEIN 및 ROMBE "패스트 패션" 브랜드의 전 소유주였던 중국 회사 Zoetop은 뉴욕주로부터 $1,900,000의 벌금을 부과받았습니다.

Letitia James 법무장관으로서 넣어 지난주 성명서에서:

SHEIN과 ROMBE의 취약한 디지털 보안 조치로 인해 해커가 소비자의 개인 데이터를 쉽게 훔칠 수 있었습니다.

그것이 충분히 나쁘지 않은 것처럼 James는 계속해서 말했습니다.

[P]개인 데이터가 도난당했고 Zoetop이 이를 은폐하려 했습니다. 소비자의 개인 데이터를 보호하지 못하고 거짓말을 하는 것은 유행이 아닙니다. SHEIN과 ROMWE는 소비자를 사기 및 신원 도용으로부터 보호하기 위해 사이버 보안 조치를 강화해야 합니다.

솔직히 우리는 Zoetop(현재 미국의 SHEIN Distribution Corporation)이 회사의 규모, 부, 브랜드 파워, 제기된 위험을 예방하거나 줄일 수 있는 기본적인 예방 조치조차 명백히 부족하다는 점을 고려할 때 그렇게 가볍게 출발한 것에 놀랐습니다. 위반에 의해, 그리고 위반이 알려진 후 위반을 처리하는 데 있어 계속되는 부정직.

.s-버튼+.s-버튼 { 여백-왼쪽: .3125rem; } .s-버튼 { 전환: 모든 .15초 선형; 글꼴 크기: .875rem; 라인 높이: 1.5; 색상: #f2f2f2; 글꼴 패밀리: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; 글꼴 두께: 400; 글꼴 스타일: 일반; 디스플레이: 인라인 블록; 패딩: .3125rem 1.25rem; 커서: 포인터; 텍스트 정렬: 가운데; 텍스트 장식: 없음; 테두리: 1px 솔리드 #005bc8; 테두리 반경: 3px; 배경색: #005bc8; 텍스트 그림자: 없음; } .s-button:hover { 텍스트 장식: 없음; 색상: #fff; 테두리 색상: #002d62; 배경색: #002d62; } .s-버튼-흰색, .s-버튼-흰색:hover { 색상: #005bc8 !중요; 테두리 색상: #fff; 배경색: #fff; } .s-ad-sophos-mdr { 글꼴 크기: 1rem; 라인 높이: 1.5; 색상: #242629; 글꼴 패밀리: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; 글꼴 두께: 400; 글꼴 스타일: 일반; 위치: 상대; 최대 너비: 769px; 여백: 15px 자동; 패딩: 30px 30px 25px; 전환: 상자 그림자 .25s 큐빅 베지어( .645, .045, .355, 1 ); 텍스트 정렬: 가운데; 배경색: #0d141d; background-repeat: 반복 없음; 배경 위치: 50%; 배경 크기: 표지; 상자 그림자: 0 0 0 0 0 투명 배경색: #005bc8; 배경 이미지: 없음; 배경 위치: 0 0; } .s-ad-sophos-mdr__title { 글꼴 크기: 2rem; 줄 높이: 1.125; 여백-하단: 4px; 색상: #fff; } .s-ad-sophos-mdr__text { 글꼴 패밀리: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; 글꼴 두께: 400; 글꼴 스타일: 일반; 글꼴 크기: 17px; 색상: #fff; } .s-ad-sophos-mdr__action { 여백 상단: 15px; } .s-ad-sophos-mdr__action .s-버튼 { 색상: #fff; } .s-ad-sophos-mdr__link-wrapper { 텍스트 장식: 없음; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { 위치: 절대; 상단: 15px; 오른쪽: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { 디스플레이: 인라인 블록; 너비: 64px; 높이: 11px; 수직 정렬: 상단; background-repeat: 반복 없음; 배경 크기: 64px 11px; } .s-ad-sophos-mdr__title { 글꼴 패밀리: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; 글꼴 두께: 400; 글꼴 스타일: 일반; 글꼴 크기: 28px; 글꼴 두께: 700; 라인 높이: 1; 여백-하단: 10px; 텍스트 정렬: 왼쪽; } .s-ad-sophos-mdr__title svg { 최대 너비: 100%; } .s-ad-sophos-mdr__text { 글꼴 크기: 16px; 라인 높이: 1.25; 텍스트 정렬: 왼쪽; } .s-ad-sophos-mdr__action { 텍스트 정렬: 오른쪽; } .s-ad-sophos-mdr .s-버튼 { 테두리 반경: 20px; } @미디어(최소 너비:769픽셀) { .s-ad-sophos-mdr__text { 오른쪽 여백: 140픽셀; } .s-ad-sophos-mdr__action { 위치: 절대; 오른쪽: 30px; 하단: 30px; } } @미디어 (최대 너비:768px) { .s-ad-sophos-mdr { 패딩 상단: 50px; } .s-ad-sophos-mdr__title { 글꼴 크기: 1.625rem; } .s-ad-sophos-mdr__text { 글꼴 크기: 16px; } .s-ad-sophos-mdr { 패딩 상단: 30px; } }

외부인이 발견한 침해

에 따르면 Zoetop은 2018년 XNUMX월에 발생한 위반 사실을 스스로 인지하지도 못했습니다.

대신 Zoetop의 결제 프로세서는 신용 카드 회사와 은행이라는 두 가지 소스의 사기 보고서에 따라 회사가 위반되었음을 알아냈습니다.

신용 카드 회사는 언더그라운드 포럼에서 판매 중인 SHEIN 고객의 카드 데이터를 발견했으며, 이는 해당 데이터가 회사 자체 또는 IT 파트너 중 한 곳에서 대량으로 획득되었음을 암시합니다.

그리고 은행은 SHEIN(아직 해결하지 않았다면 "shine"이 아니라 "she in"으로 발음)을 CPP 사기를 당한 수많은 고객들의 지불 내역에서.

CPP는 약자입니다. 공통 구매 포인트, 그리고 정확히 말하는 바를 의미합니다. 100명의 고객이 독립적으로 자신의 카드에 대한 사기를 신고하고 100명의 고객 모두가 최근에 결제한 유일한 일반 판매자가 회사 X라면…

...그리고 당신은 획기적인 영국 역학자 존 스노우가 1854년 런던에서 콜레라 발병을 추적한 것과 같은 방식으로 X가 "사기 발병"의 원인일 가능성이 있다는 정황 증거를 갖게 됩니다. 오염된 물 펌프 브로드 스트리트, 소호.

스노우의 연구는 질병이 단순히 "더러운 공기를 통해 퍼진다"는 생각을 일축하는 데 도움이 되었습니다. "세균 이론"을 의학적 현실로 확립하고 공중 보건에 대한 생각을 혁신했습니다. 그는 또한 객관적인 측정과 테스트가 원인과 결과를 연결하는 데 어떻게 도움이 되는지 보여주었고, 따라서 미래의 연구자들이 불가능한 설명을 제시하고 쓸모없는 "해결책"을 찾는 데 시간을 낭비하지 않도록 했습니다.

예방 조치를 취하지 않았습니다.

당연히 회사가 위반 사실을 간접적으로 알게 되었다는 점을 감안할 때 뉴욕 조사에서는 해당 기업이 사이버 보안 모니터링에 신경 쓰지 않는다고 비난했습니다. "보안 사고를 식별하기 위해 정기적인 외부 취약성 스캔을 실행하거나 정기적으로 감사 로그를 모니터링하거나 검토하지 않았습니다."

조사는 또한 Zoetop이 다음과 같이 보고했습니다.

크래킹하기 너무 쉬운 것으로 간주되는 방식으로 해시된 사용자 암호. 분명히 암호 해싱은 사용자의 암호를 5자리 임의 소금과 결합한 다음 MD8를 한 번 반복하는 것으로 구성되었습니다. 암호 크래킹 애호가의 보고서에 따르면 2016년 하드웨어를 갖춘 독립 실행형 200,000,000,000-GPU 크래킹 장비는 당시 초당 5개의 MD20를 통해 이동할 수 있었습니다(소금은 일반적으로 추가 계산 시간을 추가하지 않음). 이는 특수 목적 컴퓨터 한 대를 사용하여 하루에 거의 5조 개의 암호를 시도하는 것과 같습니다. (오늘날의 MDXNUMX 크래킹 속도는 최신 그래픽 카드를 사용하는 경우보다 분명히 XNUMX배에서 XNUMX배 정도 빠릅니다.)
무모하게 데이터를 기록했습니다. 어떤 종류의 오류가 발생한 거래의 경우 Zoetop은 전체 신용 카드 세부 정보를 포함한 전체 거래를 디버그 로그에 저장했습니다(여기에 보안 코드와 긴 번호 및 만료 날짜가 포함되어 있다고 가정합니다). 그러나 위반 사실을 알게 된 후에도 회사는 시스템에서 이러한 종류의 악성 지불 카드 데이터를 저장했을 수 있는 위치를 찾으려고 시도하지 않았습니다.
사건 대응 계획에 신경을 쓸 수 없었습니다. 회사는 침해가 발생하기 전에 사이버 보안 대응 계획을 세우지 못했을 뿐만 아니라 이후에도 계획을 세우지 않은 것으로 조사 결과 밝혔습니다. "영향을 받는 많은 고객을 보호하기 위해 적시에 조치를 취하지 못했습니다."
결제 처리 시스템 내부에 스파이웨어 감염이 발생했습니다. 조사에서 설명했듯이, "결제 카드 데이터의 유출은 [따라서] 구매 시점에서 카드 데이터를 가로채서 발생했을 것입니다." 상상할 수 있듯이 사고 대응 계획이 없었기 때문에 회사는 이 데이터 도용 악성코드가 얼마나 잘 작동했는지 알 수 없었지만 고객의 카드 세부 정보가 다크 웹에 표시되었다는 사실은 공격자가 성공적인.

진실을 말하지 않았다

이 회사는 또한 공격의 정도를 알게 된 후 고객을 대하는 방식에 있어서 부정직하다는 비판을 받았습니다.

예를 들어 회사는 다음과 같습니다.

6,420,000명의 사용자(실제로 주문한 사용자)가 영향을 받았다고 명시하고, 부적절하게 해시된 암호를 포함하여 39,000,000개의 사용자 계정 기록이 도난당했음을 알고 있었지만.
6.42만 명의 사용자에게 연락을 취했다고 합니다. 실제로 캐나다, 미국 및 유럽의 사용자에게만 정보가 제공되었을 때.
고객에게 "귀하의 신용 카드 정보가 당사 시스템에서 유출되었다는 증거가 없다"고 말했습니다. 정확히 그것을 암시하는 증거를 제시한 두 출처로부터 위반에 대해 경고를 받았음에도 불구하고.

이 회사는 또한 데이터를 훔치는 맬웨어 감염에 시달렸으며 공격이 아무 것도 산출하지 못했다는 증거를 제시할 수 없다는 사실을 언급하는 것을 게을리한 것 같습니다.

또한 디버그 로그에 의도적으로 전체 카드 세부 정보를 저장하는 경우가 있다는 사실을 공개하지 못했습니다(적어도 27,295 시간, 사실) 그러나 실제로 시스템에서 악성 로그 파일을 추적하여 파일이 어디에 있는지 또는 누가 액세스할 수 있었는지 확인하려고 시도하지는 않았습니다.

모욕에 상처를 더하기 위해 조사는 회사가 PCI DSS를 준수하지 않고(그것을 확인하는 악성 디버그 로그) PCI 포렌식 조사에 제출하라는 명령을 받았지만 조사관에게 필요한 액세스를 허용하지 않았다는 사실을 추가로 발견했습니다. 그들의 일을 하기 위해.

법원 문서에는 "[n]그럼에도 불구하고 수행한 제한된 검토에서 [PCI 자격을 갖춘 포렌식 조사관]은 Zoetop의 시스템이 PCI DSS를 준수하지 않는 여러 영역을 발견했습니다."

아마도 최악의 상황은 회사가 2020년 2018월 다크 웹에서 판매되는 ROMWE 웹 사이트의 암호를 발견하고 궁극적으로 이 데이터가 이미 은폐하려고 시도한 XNUMX년 침해에서 다시 도난당했다는 사실을 깨달았을 때입니다.

...몇 달 동안 그 응답은 영향을 받은 사용자에게 피해자를 비난하는 로그인 프롬프트를 표시하는 것이었습니다. “비밀번호는 보안 수준이 낮고 위험할 수 있습니다. 로그인 암호를 변경하십시오.”

그 메시지는 이후에 다음과 같은 전환적인 진술로 변경되었습니다. “비밀번호가 365일 이상 업데이트되지 않았습니다. 보호를 위해 지금 업데이트하십시오.”

2020년 7,000,000월 다크 웹에서 판매용 암호의 두 번째 트랜치가 발견되어 XNUMX개 이상의 계정에 대한 ROMWE 부분을 침해한 것으로 보이는 회사는 고객에게 암호가 혼동되었음을 인정했습니다. 그것이 부드럽게 언급 한 것 "데이터 보안 사고."