Motemerket SHEIN bøtelagt 1.9 millioner dollar for å lyve om datainnbrudd

Publisert av Platon

Følgere: 0

Det kinesiske selskapet Zoetop, tidligere eier av de voldsomt populære SHEIN og ROMWE «fast fashion»-merkene, har blitt bøtelagt $1,900,000 av staten New York.

Som riksadvokat Letitia James sett det i en uttalelse forrige uke:

SHEIN og ROMWEs svake digitale sikkerhetstiltak gjorde det enkelt for hackere å stjele forbrukernes personlige data.

Som om det ikke var ille nok, fortsatte James med å si:

[P]personlige data ble stjålet og Zoetop prøvde å skjule det. Å unnlate å beskytte forbrukernes personopplysninger og lyve om det er ikke trendy. SHEIN og ROMWE må knappe opp sine cybersikkerhetstiltak for å beskytte forbrukere mot svindel og identitetstyveri.

Ærlig talt er vi overrasket over at Zoetop (nå SHEIN Distribution Corporation i USA) kom så lett av gårde, tatt i betraktning selskapets størrelse, rikdom og merkevarestyrke, dets tilsynelatende mangel på selv grunnleggende forholdsregler som kunne ha forhindret eller redusert faren som utgjøres. av bruddet, og dets pågående uærlighet i håndteringen av bruddet etter at det ble kjent.

.s-knapp+.s-knapp { margin-venstre: .3125rem; } .s-knapp { overgang: alle .15s lineær; skriftstørrelse: .875rem; linjehøyde: 1.5; farge: #f2f2f2; font-familie: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; display: inline-blokk; polstring: .3125rem 1.25rem; markør: peker; tekst-align: center; tekst-dekorasjon: ingen; kantlinje: 1px solid #005bc8; border-radius: 3px; bakgrunnsfarge: #005bc8; tekst-skygge: ingen; } .s-button:hover { tekst-dekorasjon: ingen; farge: #fff; kantfarge: #002d62; bakgrunnsfarge: #002d62; } .s-button–white, .s-button–white:hover { farge: #005bc8 !viktig; kantfarge: #fff; bakgrunnsfarge: #fff; } .s-ad-sophos-mdr { font-size: 1rem; linjehøyde: 1.5; farge: #242629; font-familie: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; stilling: pårørende; maks-bredde: 769px; margin: 15px auto; polstring: 30px 30px 25px; overgang: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); tekst-align: center; bakgrunnsfarge: #0d141d; bakgrunns-gjenta: ikke-gjenta; bakgrunnsposisjon: 50%; bakgrunnsstørrelse: cover; boks-skygge: 0 0 0 0 0 gjennomsiktig; bakgrunnsfarge: #005bc8; bakgrunnsbilde: ingen; bakgrunnsposisjon: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; linjehøyde: 1.125; marg-bunn: 4px; farge: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; skriftstørrelse: 17px; farge: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { farge: #fff; } .s-ad-sophos-mdr__link-wrapper { tekstdekorasjon: ingen; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { posisjon: absolutt; topp: 15px; høyre: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; bredde: 64px; høyde: 11px; vertikal-juster: topp; bakgrunns-gjenta: ikke-gjenta; bakgrunnsstørrelse: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; skriftstørrelse: 28px; font-vekt: 700; linje-høyde: 1; marg-bunn: 10px; tekstjustering: venstre; } .s-ad-sophos-mdr__title svg { max-width: 100 %; } .s-ad-sophos-mdr__text { font-size: 16px; linjehøyde: 1.25; tekstjustering: venstre; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-knapp { border-radius: 20px; } @media (min-bredde:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action {posisjon: absolutt; høyre: 30px; bunn: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Brudd oppdaget av utenforstående

Ifølge kontoret til statsadvokaten i New York, Zoetop la ikke engang merke til bruddet, som skjedde i juni 2018, av seg selv.

I stedet fant Zoetops betalingsbehandler ut at selskapet var blitt brutt, etter svindelrapporter fra to kilder: et kredittkortselskap og en bank.

Kredittkortselskapet kom over SHEIN-kundenes kortdata for salg på et underjordisk forum, noe som tyder på at dataene hadde blitt innhentet i bulk fra selskapet selv, eller en av dets IT-partnere.

Og banken identifiserte SHEIN (uttales «she in», hvis du ikke hadde funnet ut det allerede, ikke «shine») for å være det som kalles en CPP i betalingshistorikkene til en rekke kunder som hadde blitt svindlet.

CPP er forkortelse for felles kjøpssted, og betyr nøyaktig det det står: hvis 100 kunder uavhengig rapporterer svindel mot kortene sine, og hvis den eneste vanlige selgeren som alle 100 kundene nylig har betalt til er selskap X...

…så har du omstendigheter for at X er en sannsynlig årsak til "svindelutbruddet", på samme måte som den banebrytende britiske epidemiologen John Snow sporet et kolerautbrudd i London i 1854 tilbake til en forurenset vannpumpe i Broad Street, Soho.

Snows arbeid bidro til å avvise ideen om at sykdommer ganske enkelt "spres gjennom dårlig luft"; etablerte «kimteori» som en medisinsk realitet, og revolusjonerte tenkningen om folkehelse. Han viste også hvordan objektiv måling og testing kunne bidra til å koble årsaker og virkninger, og dermed sikre at fremtidige forskere ikke kastet bort tid på å komme opp med umulige forklaringer og søke ubrukelige "løsninger".

Tok ikke forholdsregler

Ikke overraskende, gitt at selskapet fant ut om bruddet brukt, kritiserte New York-etterforskningen virksomheten for ikke å bry seg med cybersikkerhetsovervåking, gitt at den "drev ikke vanlige eksterne sårbarhetsskanninger eller regelmessig overvåket eller gjennomgått revisjonslogger for å identifisere sikkerhetshendelser."

Etterforskningen rapporterte også at Zoetop:

Hashet av brukerpassord på en måte som anses for lett å knekke. Tilsynelatende besto passordhashing av å kombinere brukerens passord med et tosifret tilfeldig salt, etterfulgt av én iterasjon av MD5. Rapporter fra passordknekkingsentusiaster tyder på at en frittstående 8-GPU crackingrigg med 2016-maskinvare kunne churne gjennom 200,000,000,000 5 20 5 MDXNUMX-er i sekundet den gang (saltet legger vanligvis ikke til noen ekstra beregningstid). Det tilsvarer å prøve ut nesten XNUMX kvadrillioner passord om dagen ved å bruke bare én spesiell datamaskin. (Dagens MDXNUMX-cracking-hastigheter er tilsynelatende omtrent fem til ti ganger raskere enn det, ved bruk av nyere grafikkort.)
Logget data hensynsløst. For transaksjoner der det oppstod en slags feil, lagret Zoetop hele transaksjonen i en feilsøkingslogg, tilsynelatende inkludert fullstendige kredittkortdetaljer (vi antar at dette inkluderte sikkerhetskoden samt langt nummer og utløpsdato). Men selv etter at selskapet visste om bruddet, prøvde ikke selskapet å finne ut hvor det kan ha lagret denne typen useriøse betalingskortdata i systemene sine.
Kunne ikke bli plaget med en hendelsesresponsplan. Ikke bare klarte selskapet ikke å ha en cybersikkerhetsresponsplan før bruddet skjedde, det gadd tilsynelatende ikke å komme med en etterpå, og etterforskningen sa at det "mislyktes i å iverksette tiltak i tide for å beskytte mange av de berørte kundene."
Fikk en spyware-infeksjon i betalingsbehandlingssystemet. Som etterforskningen forklarte, "enhver eksfiltrering av betalingskortdata ville [dermed] ha skjedd ved å fange opp kortdata ved kjøpsstedet." Som du kan forestille deg, på grunn av mangelen på en hendelsesresponsplan, var ikke selskapet senere i stand til å fortelle hvor godt denne datatyvende malware hadde fungert, selv om det faktum at kundenes kortdetaljer dukket opp på det mørke nettet antyder at angriperne var vellykket.

Sa ikke sannheten

Selskapet ble også sterkt kritisert for sin uærlighet i hvordan det handlet med kunder etter at det visste omfanget av angrepet.

For eksempel, selskapet:

Uttalte at 6,420,000 XNUMX XNUMX brukere (de som faktisk hadde lagt inn bestillinger) ble berørt, selv om den visste at 39,000,000 XNUMX XNUMX brukerkontooppføringer, inkludert disse upassende hash-hash-passordene, ble stjålet.
Sa at den hadde kontaktet de 6.42 millioner brukerne, når faktisk bare brukere i Canada, USA og Europa ble informert.
Fortalte kunder at det ikke hadde "ingen bevis på at kredittkortinformasjonen din ble hentet fra systemene våre", til tross for å ha blitt varslet om bruddet av to kilder som presenterte bevis som sterkt antydet akkurat det.

Det ser ut til at selskapet også har unnlatt å nevne at det visste at det hadde blitt utsatt for en skadelig programvareinfeksjon som stjeler data, og at det ikke hadde vært i stand til å produsere bevis for at angrepet ikke hadde gitt noe.

Den klarte heller ikke å avsløre at den noen ganger bevisst lagret fullstendige kortdetaljer i feilsøkingslogger (minst 27,295 ganger, faktisk), men prøvde faktisk ikke å spore opp disse useriøse loggfilene i systemene for å se hvor de endte opp eller hvem som kan ha hatt tilgang til dem.

For å legge skade til fornærmelse fant undersøkelsen videre at selskapet ikke var PCI DSS-kompatibelt (dets useriøse feilsøkingslogger sørget for det), ble beordret til å underkaste seg en PCI rettsmedisinsk etterforskning, men nektet deretter å gi etterforskerne tilgangen de trengte å gjøre arbeidet sitt.

Som rettsdokumentene skjevt bemerker, "[n]allikevel, i den begrensede gjennomgangen den utførte, fant den [PCI-kvalifiserte rettsmedisinske etterforskeren] flere områder der Zoetops systemer ikke var kompatible med PCI DSS."

Kanskje verst av alt, da selskapet oppdaget passord fra ROMWE-nettstedet for salg på det mørke nettet i juni 2020, og til slutt innså at disse dataene sannsynligvis ble stjålet i 2018-bruddet som det allerede hadde forsøkt å dekke over ...

… svaret, i flere måneder, var å presentere berørte brukere med en offer-klandrende påloggingsforespørsel som sa: «Passordet ditt har et lavt sikkerhetsnivå og kan være i fare. Vennligst endre påloggingspassordet ditt".

Denne meldingen ble senere endret til en avledningserklæring som sa: «Passordet ditt har ikke blitt oppdatert på mer enn 365 dager. For din beskyttelse, vennligst oppdater den nå."

Først i desember 2020, etter at en andre transje av passord for salg ble funnet på det mørke nettet, som tilsynelatende brakte ROMWE-delen av bruddet til mer enn 7,000,000 kontoer, innrømmet selskapet overfor kundene at de hadde blitt blandet inn i hva det blidt referert til som en "datasikkerhetshendelse."

Hva gjør jeg?

Dessverre ser ikke straffen i dette tilfellet ut til å legge mye press på "hvem-bryr seg-om-nettsikkerhet-når-du-bare-kan-betale-boten?" selskaper til å gjøre det rette, enten før, under eller etter en cybersikkerhetshendelse.

Bør straffene for denne typen oppførsel være høyere?

Så lenge det er bedrifter der ute som ser ut til å behandle bøter bare som en kostnad for virksomheten som kan jobbes inn i budsjettet på forhånd, er økonomiske sanksjoner til og med den rette veien å gå?

Eller bør selskaper som lider av brudd av denne typen, prøve å hindre tredjepartsetterforskere, og deretter skjule hele sannheten om hva som skjedde for kundene deres...

...rett og slett bli forhindret fra å handle i det hele tatt, for kjærlighet eller penger?

Si din mening i kommentarfeltet nedenfor! (Du kan forbli anonym.)

Ikke nok tid eller personale?
Lær mer om Sophos Managed Detection and Response:
24/7 trusseljakt, deteksjon og respons ▶

Tidstempel: Oktober 17, 2022Oktober 17, 2022