Китайская компания Zoetop, бывший владелец популярных брендов «быстрой моды» SHEIN и ROMWE, была оштрафована штатом Нью-Йорк на 1,900,000 XNUMX XNUMX долларов.
Как генеральный прокурор Летиция Джеймс положите в заявлении на прошлой неделе:
Слабые меры цифровой безопасности SHEIN и ROMWE позволили хакерам легко украсть личные данные покупателей.
Как будто этого было недостаточно, Джеймс продолжил:
[Личные] данные были украдены, и Zoetop пытался скрыть это. Не защищать личные данные потребителей и лгать об этом не модно. SHEIN и ROMWE должны активизировать свои меры кибербезопасности, чтобы защитить потребителей от мошенничества и кражи личных данных.
Откровенно говоря, мы удивлены, что Zoetop (теперь SHEIN Distribution Corporation в США) отделалась так легко, учитывая размер, богатство и силу бренда компании, ее явное отсутствие даже элементарных мер предосторожности, которые могли бы предотвратить или уменьшить опасность. нарушением и его продолжающейся нечестностью в устранении нарушения после того, как о нем стало известно.
Взлом обнаружен посторонними
По Генеральная прокуратура Нью-Йорка Zoetop сама по себе даже не заметила нарушения, произошедшего в июне 2018 года.
Вместо этого платежный процессор Zoetop выяснил, что компания была взломана, после сообщений о мошенничестве из двух источников: компании, выпускающей кредитные карты, и банка.
Компания-эмитент кредитных карт обнаружила данные карт клиентов SHEIN для продажи на подпольном форуме, предполагая, что данные были получены оптом у самой компании или у одного из ее ИТ-партнеров.
И банк определил SHEIN (произносится как «она в», если вы еще не поняли, а не «блеск») как то, что известно как CPP в историях платежей многочисленных клиентов, которые были обмануты.
СРР — это сокращение от общая точка покупки, и означает именно то, что он говорит: если 100 клиентов независимо друг от друга сообщают о мошенничестве с их картами, и если единственным общим продавцом, которому все 100 клиентов недавно совершали платежи, является компания X…
…тогда у вас есть косвенные доказательства того, что Х является вероятной причиной «вспышки мошенничества», точно так же, как новаторский британский эпидемиолог Джон Сноу проследил вспышку холеры в Лондоне в 1854 году до загрязненный водяной насос на Брод-стрит, Сохо.
Работа Сноу помогла опровергнуть идею о том, что болезни просто «распространяются через грязный воздух»; утвердил «теорию микробов» как медицинскую реальность и произвел революцию в представлениях об общественном здравоохранении. Он также показал, как объективные измерения и испытания могут помочь связать причины и следствия, тем самым гарантируя, что будущие исследователи не будут тратить время на поиски невозможных объяснений и бесполезных «решений».
Не принял меры предосторожности
Неудивительно, что, учитывая, что компания узнала о взломе из вторых рук, нью-йоркское расследование раскритиковало бизнес за то, что он не беспокоился о мониторинге кибербезопасности, учитывая, что это «не выполняли регулярное внешнее сканирование уязвимостей или регулярно отслеживали или просматривали журналы аудита для выявления инцидентов безопасности».
Следствие также сообщило, что Zoetop:
- Пароли пользователей хешируются так, что их слишком легко взломать. Судя по всему, хеширование пароля состояло из объединения пароля пользователя со случайной двузначной солью, за которой следовала одна итерация MD5. Отчеты энтузиастов по взлому паролей предполагают, что автономная установка для взлома с 8 графическими процессорами и аппаратным обеспечением 2016 года тогда могла обрабатывать 200,000,000,000 5 20 5 MDXNUMX в секунду (соль обычно не добавляет дополнительного времени вычислений). Это эквивалентно проверке почти XNUMX квадриллионов паролей в день на одном специализированном компьютере. (Сегодняшняя скорость взлома MDXNUMX, по-видимому, примерно в пять-десять раз выше, чем при использовании новейших графических карт.)
- Небрежно регистрировал данные. Для транзакций, в которых произошла какая-либо ошибка, Zoetop сохранил всю транзакцию в журнале отладки, по-видимому, включая полные данные кредитной карты (мы предполагаем, что это включало код безопасности, а также длинный номер и дату истечения срока действия). Но даже после того, как компания узнала об взломе, она не пыталась выяснить, где в ее системах могли храниться такие мошеннические данные платежных карт.
- Не мог быть обеспокоен планом реагирования на инциденты. Мало того, что у компании не было плана реагирования на кибербезопасность до того, как произошло нарушение, она, по-видимому, не удосужилась придумать его после, поскольку расследование заявило, что это «не смогли принять своевременные меры для защиты многих пострадавших клиентов».
- Пострадал от заражения шпионским ПО внутри своей платежной системы. Как пояснило следствие, «любая эксфильтрация данных платежной карты [таким образом] произошла бы путем перехвата данных карты в точке покупки». Как вы можете себе представить, учитывая отсутствие плана реагирования на инциденты, компания впоследствии не могла сказать, насколько хорошо сработало это вредоносное ПО для кражи данных, хотя тот факт, что данные карты клиентов появились в даркнете, предполагает, что злоумышленники были успешный.
Не сказал правду
Компанию также подвергли резкой критике за нечестность в обращении с клиентами после того, как стало известно о масштабах атаки.
Например, компания:
- Заявлено, что пострадали 6,420,000 XNUMX XNUMX пользователей (тех, кто фактически размещал заказы), хотя было известно, что 39,000,000 XNUMX XNUMX записей учетных записей пользователей, включая неумело хешированные пароли, были украдены.
- Сказал, что связался с этими 6.42 миллионами пользователей, когда на самом деле были проинформированы только пользователи в Канаде, США и Европе.
- Сообщил клиентам, что у него нет «доказательств того, что информация о вашей кредитной карте была взята из наших систем», несмотря на то, что два источника предупредили о нарушении, которые представили доказательства, убедительно свидетельствующие именно об этом.
Похоже, что компания также не упомянула, что знала, что пострадала от заражения вредоносным ПО с целью кражи данных, и не смогла представить доказательства того, что атака ничего не дала.
Он также не сообщил, что иногда намеренно сохранял полные данные карты в журналах отладки (по крайней мере, 27,295 раз), но на самом деле не пытался отследить эти мошеннические файлы журналов в своих системах, чтобы увидеть, где они оказались или кто мог иметь к ним доступ.
Чтобы усугубить оскорбление, расследование также установило, что компания не соответствует требованиям PCI DSS (в этом убедились ее мошеннические журналы отладки), ей было приказано пройти судебное расследование PCI, но затем отказали следователям в доступе, в котором они нуждались. делать свою работу.
Как иронично отмечается в судебных документах, «[n] Тем не менее, в ходе проведенной ограниченной проверки [криминалист, имеющий квалификацию PCI] обнаружил несколько областей, в которых системы Zoetop не соответствовали требованиям PCI DSS».
Возможно, хуже всего, когда компания обнаружила пароли от своего веб-сайта ROMWE для продажи в даркнете в июне 2020 года и в конечном итоге поняла, что эти данные, вероятно, были украдены еще во время взлома 2018 года, который она уже пыталась скрыть…
… его ответ в течение нескольких месяцев заключался в том, чтобы предоставить пострадавшим пользователям приглашение для входа в систему, обвиняющее жертву, в котором говорилось: «Ваш пароль имеет низкий уровень безопасности и может быть под угрозой. Пожалуйста, измените пароль для входа».
Впоследствии это сообщение было изменено на отвлекающее заявление, в котором говорилось: «Ваш пароль не обновлялся более 365 дней. Для вашей защиты, пожалуйста, обновите его сейчас».
Только в декабре 2020 года, после того как в даркнете была обнаружена вторая партия паролей для продажи, которая, по-видимому, привела к взлому более чем 7,000,000 XNUMX XNUMX учетных записей, связанному с ROMWE, компания признала своим клиентам, что они были перепутаны в то, что он мягко назвал «Инцидент безопасности данных».
Что делать?
К сожалению, наказание в этом случае, похоже, не оказывает большого давления на «кого-заботится-о-кибербезопасности-когда-можно-просто-заплатить-штраф?» компаний поступать правильно, будь то до, во время или после инцидента кибербезопасности.
Должны ли наказания за такое поведение быть выше?
Пока существуют предприятия, которые рассматривают штрафы просто как издержки бизнеса, которые можно заранее заложить в бюджет, являются ли финансовые штрафы правильным путем?
Или компании, которые терпят такого рода нарушения, затем пытаются помешать сторонним расследованиям, а затем скрыть всю правду о том, что произошло, от своих клиентов…
…просто запретить вообще торговать ради любви или денег?
Скажите свое мнение в комментариях ниже! (Вы можете остаться анонимным.)
Не хватает времени или персонала?
Узнать больше о Управляемое обнаружение и реагирование Sophos:
Круглосуточный поиск угроз, обнаружение и реагирование ▶
- блокчейн
- Coingenius
- покрывать
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Данные нарушения
- Потеря данных
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Соответствие ВВП
- Kaspersky
- вредоносных программ
- Mcafee
- Голая Безопасность
- New York
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- ROMWE
- ОНА В
- VPN
- безопасности веб-сайтов
- зефирнет
- Зоотоп
![S3, эпизод 124: когда так называемые приложения безопасности выходят из-под контроля [аудио + текст]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
