Het Chinese bedrijf Zoetop, voormalig eigenaar van de razend populaire 'fast fashion'-merken SHEIN en ROMWE, heeft een boete van $ 1,900,000 gekregen van de staat New York.
Als procureur-generaal Letitia James zet het in een verklaring vorige week:
De zwakke digitale beveiligingsmaatregelen van SHEIN en ROMWE maakten het hackers gemakkelijk om persoonlijke gegevens van consumenten te stelen.
Alsof dat nog niet erg genoeg was, zei James verder:
Er werden persoonlijke gegevens gestolen en Zoetop probeerde die te verdoezelen. Het niet beschermen van de persoonlijke gegevens van consumenten en erover liegen is niet trendy. SHEIN en ROMWE moeten hun cyberbeveiligingsmaatregelen aanscherpen om consumenten te beschermen tegen fraude en identiteitsdiefstal.
Eerlijk gezegd zijn we verrast dat Zoetop (nu SHEIN Distribution Corporation in de VS) er zo lichtjes vanaf kwam, gezien de omvang, rijkdom en merkmacht van het bedrijf, het schijnbare gebrek aan zelfs elementaire voorzorgsmaatregelen die het gevaar hadden kunnen voorkomen of verminderen door de inbreuk, en de voortdurende oneerlijkheid bij de behandeling van de inbreuk nadat deze bekend werd.
Inbreuk ontdekt door buitenstaanders
Think het kantoor van de procureur-generaal van New York, heeft Zoetop de inbreuk, die in juni 2018 plaatsvond, niet eens zelf opgemerkt.
In plaats daarvan ontdekte de betalingsverwerker van Zoetop dat het bedrijf was geschonden, na fraudemeldingen van twee bronnen: een creditcardmaatschappij en een bank.
De creditcardmaatschappij kwam kaartgegevens van SHEIN-klanten tegen die te koop waren op een ondergronds forum, wat suggereert dat de gegevens in bulk waren verkregen van het bedrijf zelf of een van zijn IT-partners.
En de bank identificeerde SHEIN (uitgesproken als "she in", als je dat nog niet had uitgewerkt, niet "shine") als wat bekend staat als een CPP in de betalingsgeschiedenis van talrijke klanten die waren opgelicht.
CPP is een afkorting voor: gemeenschappelijk verkooppunt, en precies betekent wat het zegt: als 100 klanten onafhankelijk fraude met hun kaarten melden, en als de enige gewone handelaar aan wie alle 100 klanten onlangs betalingen hebben gedaan bedrijf X is...
โฆdan heb je indirect bewijs dat X een waarschijnlijke oorzaak is van de โfraude-uitbraakโ, op dezelfde manier waarop de baanbrekende Britse epidemioloog John Snow een cholera-uitbraak in 1854 in Londen herleidde tot een vervuilde waterpomp in Broad Street, Soho.
Snow's werk hielp om het idee te verwerpen dat ziekten zich eenvoudigweg 'door vuile lucht verspreiden'; vestigde de "kiemtheorie" als een medische realiteit en zorgde voor een revolutie in het denken over volksgezondheid. Hij liet ook zien hoe objectief meten en testen kan helpen oorzaken en gevolgen met elkaar te verbinden, zodat toekomstige onderzoekers geen tijd verspillen aan het bedenken van onmogelijke verklaringen en het zoeken naar nutteloze 'oplossingen'.
Geen voorzorgsmaatregelen genomen
Het is niet verwonderlijk dat, aangezien het bedrijf uit de tweede hand achter de inbreuk kwam, het bedrijf in New York werd aangeklaagd omdat het zich niet bezighield met het monitoren van cyberbeveiliging, aangezien het "heeft geen regelmatige externe kwetsbaarheidsscans uitgevoerd of auditlogboeken regelmatig gecontroleerd of beoordeeld om beveiligingsincidenten te identificeren."
Het onderzoek meldde ook dat Zoetop:
- Gebruikerswachtwoorden gehasht op een manier die als te gemakkelijk te kraken wordt beschouwd. Blijkbaar bestond het hashen van wachtwoorden uit het combineren van het wachtwoord van de gebruiker met een willekeurig zout van twee cijfers, gevolgd door รฉรฉn iteratie van MD5. Rapporten van liefhebbers van het kraken van wachtwoorden suggereren dat een stand-alone 8-GPU-kraakinstallatie met 2016-hardware destijds 200,000,000,000 MD5's per seconde kon verwerken (het zout voegt meestal geen extra rekentijd toe). Dat staat gelijk aan het uitproberen van bijna 20 biljoen wachtwoorden per dag met slechts รฉรฉn speciale computer. (De huidige MD5-kraaksnelheden zijn blijkbaar ongeveer vijf tot tien keer sneller dan dat, met behulp van recente grafische kaarten.)
- Gegevens roekeloos gelogd. Voor transacties waarbij een fout is opgetreden, heeft Zoetop de hele transactie opgeslagen in een foutopsporingslogboek, blijkbaar inclusief volledige creditcardgegevens (we nemen aan dat dit zowel de beveiligingscode als het lange nummer en de vervaldatum bevatte). Maar zelfs nadat het van de inbreuk op de hoogte was, probeerde het bedrijf niet uit te zoeken waar het dit soort malafide betaalkaartgegevens in zijn systemen had opgeslagen.
- Kon niet worden lastig gevallen met een incidentresponsplan. Het bedrijf had niet alleen geen cybersecurity-responsplan voordat de inbreuk plaatsvond, het nam blijkbaar niet de moeite om er achteraf een te bedenken, waarbij het onderzoek aangaf dat het "heeft niet tijdig actie ondernomen om veel van de getroffen klanten te beschermen."
- Lijdde aan een spyware-infectie in het betalingsverwerkingssysteem. Zoals het onderzoek heeft uitgelegd, "elke exfiltratie van betaalkaartgegevens zou [dus] zijn gebeurd door kaartgegevens te onderscheppen op het moment van aankoop." Zoals u zich kunt voorstellen, kon het bedrijf, gezien het ontbreken van een plan voor het reageren op incidenten, vervolgens niet zeggen hoe goed deze malware voor het stelen van gegevens had gewerkt, hoewel het feit dat de kaartgegevens van klanten op het dark web verschenen, suggereert dat de aanvallers succesvol.
Vertelde niet de waarheid
Het bedrijf werd ook ronduit bekritiseerd vanwege zijn oneerlijkheid in de manier waarop het met klanten omging nadat het de omvang van de aanval kende.
Het bedrijf bijvoorbeeld:
- verklaarde dat 6,420,000 gebruikers (degenen die daadwerkelijk bestellingen hadden geplaatst) werden getroffen, hoewel het wist dat 39,000,000 records van gebruikersaccounts, inclusief die onhandig gehashte wachtwoorden, waren gestolen.
- Zei dat het contact had opgenomen met die 6.42 miljoen gebruikers, terwijl in feite alleen gebruikers in Canada, de VS en Europa werden geรฏnformeerd.
- Klanten verteld dat het "geen bewijs had dat uw creditcardgegevens uit onze systemen waren gehaald", ondanks dat ze op de hoogte waren gesteld van de inbreuk door twee bronnen die bewijsmateriaal presenteerden dat precies dat suggereerde.
Het bedrijf lijkt ook te hebben nagelaten te vermelden dat het wist dat het te maken had gehad met een data-stelende malware-infectie en niet in staat was om bewijs te leveren dat de aanval niets had opgeleverd.
Het heeft ook niet bekendgemaakt dat het soms bewust volledige kaartgegevens opsloeg in foutopsporingslogboeken (tenminste 27,295 keer, in feite), maar probeerde niet echt om die malafide logbestanden op te sporen in zijn systemen om te zien waar ze terechtkwamen of wie er toegang toe had.
Om nog erger te maken, bleek uit het onderzoek verder dat het bedrijf niet PCI DSS-compatibel was (zijn malafide debug-logboeken zorgden daarvoor), werd bevolen zich te onderwerpen aan een forensisch PCI-onderzoek, maar weigerde vervolgens de onderzoekers de toegang te verlenen die ze nodig hadden om hun werk te doen.
Zoals de rechtbankdocumenten wrang opmerken, "Desalniettemin heeft de [PCI-gekwalificeerde forensisch onderzoeker] in de beperkte beoordeling die het heeft uitgevoerd, verschillende gebieden gevonden waarin de systemen van Zoetop niet voldeden aan PCI DSS."
Misschien wel het ergste van alles, toen het bedrijf in juni 2020 wachtwoorden van zijn ROMWE-website ontdekte die te koop waren op het dark web, en zich uiteindelijk realiseerde dat deze gegevens waarschijnlijk waren gestolen tijdens de inbreuk van 2018 die het al had geprobeerd te verdoezelen โฆ
... zijn reactie, gedurende enkele maanden, was om getroffen gebruikers een login-prompt te geven die het slachtoffer de schuld gaf en zei: โUw wachtwoord heeft een laag beveiligingsniveau en loopt mogelijk gevaar. Wijzig uw inlogwachtwoord".
Dat bericht werd later veranderd in een afleidingsverklaring waarin stond: โUw wachtwoord is al meer dan 365 dagen niet bijgewerkt. Werk het nu voor uw eigen veiligheid bij.โ
Pas in december 2020, nadat een tweede tranche van te koop staande wachtwoorden op het dark web was gevonden, waardoor het ROMWE-deel van de inbreuk blijkbaar op meer dan 7,000,000 accounts kwam, gaf het bedrijf aan zijn klanten toe dat ze waren verwisseld in wat het zachtaardig een noemde "gegevensbeveiligingsincident."
Wat te doen?
Helaas lijkt de straf in dit geval niet veel druk uit te oefenen op "wie-geeft-om-cyberbeveiliging-wanneer-je-gewoon-de-boete-kan-betalen?" bedrijven om het juiste te doen, of dit nu voor, tijdens of na een cyberbeveiligingsincident is.
Moeten de straffen voor dit soort gedrag hoger zijn?
Zolang er bedrijven zijn die boetes lijken te beschouwen als een kostenpost die van tevoren in het budget kan worden verwerkt, zijn financiรซle sancties dan wel de juiste weg?
Of moeten bedrijven die te maken hebben met dit soort inbreuken, externe onderzoekers proberen te hinderen en vervolgens de volledige waarheid over wat er is gebeurd voor hun klanten verbergen...
... gewoon helemaal niet meer mogen handelen, voor liefde of geld?
Geef je mening in de reacties hieronder! (U kunt anoniem blijven.)
Niet genoeg tijd of personeel?
Lees verder over Door Sophos beheerde detectie en respons:
24/7 jacht op bedreigingen, detectie en reactie โถ
- blockchain
- vindingrijk
- bedekken
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- datalek
- Data Loss
- Department of Homeland Security
- digitale portefeuilles
- firewall
- GDPR naleving
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- New York
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- ROMWE
- ZIJ IN
- VPN
- website veiligheid
- zephyrnet
- Zoetop
![S3 Ep124: wanneer zogenaamde beveiligings-apps schurkenstaten worden [Audio + tekst]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
