A empresa chinesa Zoetop, ex-proprietária das marcas de “fast fashion” SHEIN e ROMWE, foi multada em US$ 1,900,000 pelo Estado de Nova York.
Como procuradora-geral Letitia James colocá-lo em um comunicado na semana passada:
As fracas medidas de segurança digital da SHEIN e da ROMWE tornaram mais fácil para os hackers roubarem os dados pessoais dos consumidores.
Como se isso não bastasse, James continuou dizendo:
[Dados pessoais foram roubados e Zoetop tentou encobri-los. Deixar de proteger os dados pessoais dos consumidores e mentir sobre isso não está na moda. SHEIN e ROMWE devem abotoar suas medidas de segurança cibernética para proteger os consumidores contra fraudes e roubo de identidade.
Francamente, estamos surpresos que a Zoetop (agora SHEIN Distribution Corporation nos EUA) tenha se saído tão facilmente, considerando o tamanho, a riqueza e o poder da marca da empresa, sua aparente falta de precauções básicas que poderiam ter evitado ou reduzido o perigo representado pela violação e sua desonestidade contínua em lidar com a violação depois que ela se tornou conhecida.
Violação descoberta por forasteiros
De acordo com o da Procuradoria Geral de Nova York, a Zoetop nem percebeu a violação, que aconteceu em junho de 2018, por si só.
Em vez disso, o processador de pagamentos da Zoetop descobriu que a empresa havia sido violada, após relatos de fraude de duas fontes: uma empresa de cartão de crédito e um banco.
A empresa de cartão de crédito encontrou os dados dos cartões dos clientes da SHEIN à venda em um fórum clandestino, sugerindo que os dados foram adquiridos em massa da própria empresa ou de um de seus parceiros de TI.
E o banco identificou SHEIN (pronuncia-se “she in”, se você ainda não tivesse descoberto isso, não “shine”) como o que é conhecido como CPP nos históricos de pagamento de inúmeros clientes que foram fraudados.
CPP é abreviação de ponto comum de compra, e significa exatamente o que diz: se 100 clientes denunciarem independentemente fraudes contra seus cartões, e se o único comerciante comum para quem todos os 100 clientes fizeram pagamentos recentemente for a empresa X…
... então você tem evidências circunstanciais de que X é uma causa provável do “surto de fraude”, da mesma forma que o inovador epidemiologista britânico John Snow rastreou um surto de cólera em Londres em 1854 até um bomba de água poluída em Broad Street, Soho.
O trabalho de Snow ajudou a descartar a ideia de que as doenças simplesmente “se espalham pelo ar poluído”; estabeleceu a “teoria do germe” como uma realidade médica e revolucionou o pensamento sobre saúde pública. Ele também mostrou como medições e testes objetivos podem ajudar a conectar causas e efeitos, garantindo assim que futuros pesquisadores não percam tempo chegando a explicações impossíveis e buscando “soluções” inúteis.
Não tomou precauções
Sem surpresa, dado que a empresa descobriu a violação em segunda mão, a investigação de Nova York castigou a empresa por não se preocupar com o monitoramento da segurança cibernética, uma vez que “não executou varreduras externas regulares de vulnerabilidades ou monitorou ou revisou regularmente os logs de auditoria para identificar incidentes de segurança.”
A investigação também informou que Zoetop:
- Senhas de usuários com hash de uma maneira considerada muito fácil de quebrar. Aparentemente, o hash de senha consistia em combinar a senha do usuário com um sal aleatório de dois dígitos, seguido por uma iteração do MD5. Relatórios de entusiastas de cracking de senha sugerem que um equipamento de cracking autônomo de 8 GPUs com hardware de 2016 poderia produzir 200,000,000,000 MD5s por segundo naquela época (o sal normalmente não adiciona nenhum tempo extra de computação). Isso equivale a testar quase 20 quatrilhões de senhas por dia usando apenas um computador para fins especiais. (As taxas de cracking MD5 de hoje são aparentemente cerca de cinco a dez vezes mais rápidas do que isso, usando placas gráficas recentes.)
- Dados registrados de forma imprudente. Para transações em que ocorreu algum tipo de erro, o Zoetop salvou toda a transação em um log de depuração, aparentemente incluindo detalhes completos do cartão de crédito (estamos assumindo que isso inclui o código de segurança, bem como o número longo e a data de validade). Mas mesmo depois de saber da violação, a empresa não tentou descobrir onde poderia ter armazenado esse tipo de dados de cartão de pagamento desonestos em seus sistemas.
- Não poderia ser incomodado com um plano de resposta a incidentes. A empresa não apenas falhou em ter um plano de resposta de segurança cibernética antes da violação, mas aparentemente não se preocupou em criar um depois, com a investigação afirmando que “não tomou medidas oportunas para proteger muitos dos clientes afetados”.
- Sofreu uma infecção por spyware dentro de seu sistema de processamento de pagamentos. Como explicou a investigação, “qualquer exfiltração de dados de cartão de pagamento teria [assim] acontecido pela interceptação de dados de cartão no ponto de compra.” Como você pode imaginar, dada a falta de um plano de resposta a incidentes, a empresa não conseguiu dizer quão bem esse malware de roubo de dados funcionou, embora o fato de os detalhes do cartão dos clientes aparecerem na dark web sugira que os invasores estavam bem sucedido.
Não disse a verdade
A empresa também foi duramente criticada por sua desonestidade na forma como lidou com os clientes depois de saber a extensão do ataque.
Por exemplo, a empresa:
- Afirmou que 6,420,000 usuários (aqueles que realmente fizeram pedidos) foram afetados, embora soubesse que 39,000,000 registros de contas de usuários, incluindo aquelas senhas com hash inepto, foram roubados.
- Disse que havia contatado esses 6.42 milhões de usuários, quando na verdade apenas usuários no Canadá, Estados Unidos e Europa foram informados.
- Disse aos clientes que não havia “nenhuma evidência de que as informações do seu cartão de crédito foram retiradas de nossos sistemas”, apesar de ter sido alertado para a violação por duas fontes que apresentaram evidências fortemente sugerindo exatamente isso.
A empresa, ao que parece, também esqueceu de mencionar que sabia que havia sofrido uma infecção por malware de roubo de dados e não conseguiu produzir evidências de que o ataque não rendeu nada.
Ele também não divulgou que às vezes salvava conscientemente detalhes completos do cartão em logs de depuração (pelo menos vezes 27,295, na verdade), mas não tentou rastrear esses arquivos de log desonestos em seus sistemas para ver onde eles foram parar ou quem poderia ter acesso a eles.
Para adicionar dano ao insulto, a investigação descobriu ainda que a empresa não era compatível com PCI DSS (seus logs de depuração não autorizados garantiram isso), foi condenada a se submeter a uma investigação forense PCI, mas depois se recusou a permitir aos investigadores o acesso de que precisavam. para fazer seu trabalho.
Como os documentos judiciais observam ironicamente, “[no] entanto, na revisão limitada que realizou, o [investigador forense qualificado para PCI] encontrou várias áreas em que os sistemas da Zoetop não estavam em conformidade com o PCI DSS.”
Talvez o pior de tudo, quando a empresa descobriu senhas de seu site ROMWE à venda na dark web em junho de 2020 e, finalmente, percebeu que esses dados provavelmente foram roubados na violação de 2018 que já havia tentado encobrir…
…sua resposta, por vários meses, foi apresentar aos usuários afetados um prompt de login para culpar a vítima dizendo: “Sua senha tem um baixo nível de segurança e pode estar em risco. Por favor, altere sua senha de acesso”.
Essa mensagem foi posteriormente alterada para uma declaração de diversão dizendo: “Sua senha não foi atualizada em mais de 365 dias. Para sua proteção, atualize-o agora.”
Somente em dezembro de 2020, depois que uma segunda parcela de senhas à venda foi encontrada na dark web, aparentemente trazendo a parte da violação da ROMWE para mais de 7,000,000 contas, a empresa admitiu a seus clientes que eles haviam sido misturados em o que ele chama de “incidente de segurança de dados”.
O que fazer?
Infelizmente, a punição neste caso não parece colocar muita pressão em “quem se importa com a segurança cibernética quando você pode simplesmente pagar a multa?” empresas a fazer a coisa certa, seja antes, durante ou depois de um incidente de segurança cibernética.
As penalidades para esse tipo de comportamento devem ser maiores?
Enquanto houver empresas por aí que parecem tratar as multas simplesmente como um custo de negócios que pode ser incluído no orçamento antecipadamente, as penalidades financeiras são mesmo o caminho certo a seguir?
Ou as empresas que sofrem violações desse tipo devem tentar impedir os investigadores de terceiros e, em seguida, esconder toda a verdade do que aconteceu de seus clientes…
…simplesmente ser impedido de negociar, por amor ou dinheiro?
Dê a sua opinião nos comentários abaixo! (Você pode permanecer anônimo.)
Não há tempo ou pessoal suficiente?
Saiba mais sobre Detecção e Resposta Gerenciada Sophos:
Caça, detecção e resposta a ameaças 24 horas por dia, 7 dias por semana ▶
- blockchain
- Coingenius
- cobrir
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- violação de dados
- Perda de Dados
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Conformidade com o GDPR
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- New York
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- ROMWE
- ELA DENTRO
- VPN
- a segurança do website
- zefirnet
- Zoetop
