Kitajsko podjetje Zoetop, nekdanjega lastnika zelo priljubljenih blagovnih znamk »hitre mode« SHEIN in ROMWE, je država New York kaznovala z 1,900,000 $ kazni.
Kot generalna državna tožilka Letitia James stavi v izjavi prejšnji teden:
Šibki digitalni varnostni ukrepi podjetij SHEIN in ROMWE so hekerjem olajšali krajo osebnih podatkov potrošnikov.
Kot da to ne bi bilo dovolj slabo, je James nadaljeval:
[P]osebni podatki so bili ukradeni in Zoetop jih je poskušal prikriti. Nevarovanje osebnih podatkov potrošnikov in laganje o njih ni v trendu. SHEIN in ROMWE morata okrepiti svoje ukrepe kibernetske varnosti, da zaščitita potrošnike pred goljufijami in krajo identitete.
Odkrito povedano, presenečeni smo, da se je Zoetop (zdaj SHEIN Distribution Corporation v ZDA) tako lahkomiselno odzval glede na velikost, bogastvo in moč blagovne znamke podjetja ter očitno pomanjkanje osnovnih previdnostnih ukrepov, ki bi lahko preprečili ali zmanjšali nastalo nevarnost zaradi kršitve in njegove stalne nepoštenosti pri obravnavanju kršitve, potem ko je postalo znano.
Vdor so odkrili tujci
Glede na urada generalnega državnega tožilca v New Yorku Zoetop kršitve, ki se je zgodila junija 2018, sploh ni opazil sam.
Namesto tega je Zoetopov plačilni procesor po poročilih o goljufijah iz dveh virov ugotovil, da je prišlo do vdora v podjetje: izdajatelja kreditnih kartic in banke.
Podjetje s kreditnimi karticami je na podzemnem forumu naletelo na podatke o karticah strank SHEIN, ki so bili naprodaj, kar kaže na to, da so bili podatki v veliki meri pridobljeni od samega podjetja ali enega od njegovih IT partnerjev.
In banka je identificirala SHEIN (izgovarja se »ona notri«, če tega še niste ugotovili, ne »sijaj«) kot tisto, kar je znano kot CPP v zgodovini plačil številnih strank, ki so bile ogoljufane.
CPP je okrajšava za skupno nakupno mesto, in pomeni natanko to, kar piše: če 100 strank neodvisno prijavi goljufijo s svojimi karticami in če je edini običajni trgovec, ki mu je vseh 100 strank nedavno izvedlo plačila, podjetje X ...
... potem imate posredne dokaze, da je X verjeten vzrok za "izbruh goljufije", na enak način, kot je prelomni britanski epidemiolog John Snow izsledil izbruh kolere v Londonu leta 1854 nazaj do črpalka onesnažene vode v Broad Street, Soho.
Snowevo delo je pomagalo zavrniti idejo, da se bolezni preprosto »širijo po umazanem zraku«; uveljavil »teorijo o kalčkih« kot medicinsko resničnost in revolucioniral razmišljanje o javnem zdravju. Pokazal je tudi, kako lahko objektivno merjenje in testiranje pomagata povezati vzroke in posledice ter tako zagotoviti, da bodoči raziskovalci ne bodo izgubljali časa z nemogočimi razlagami in iskanjem nekoristnih »rešitev«.
Nisem sprejel previdnostnih ukrepov
Glede na to, da je podjetje za kršitev izvedelo iz druge roke, ni presenetljivo, da je newyorška preiskava podjetje grajala, ker se ni ukvarjalo s spremljanjem kibernetske varnosti, saj je "ni izvajal rednih pregledov zunanjih ranljivosti ali redno spremljal ali pregledoval revizijskih dnevnikov, da bi prepoznal varnostne incidente."
Preiskava je tudi poročala, da Zoetop:
- Zgoščena uporabniška gesla na način, ki velja za prelahkega za vdiranje. Očitno je zgoščevanje gesel sestavljeno iz kombiniranja uporabniškega gesla z dvomestno naključno soljo, čemur je sledila ena ponovitev MD5. Poročila navdušencev nad razbijanjem gesel kažejo, da bi samostojna naprava za razbijanje z 8 GPU s strojno opremo iz leta 2016 takrat lahko pregnala 200,000,000,000 MD5 na sekundo (sol običajno ne doda dodatnega časa za izračun). To je enakovredno preizkušanju skoraj 20 kvadrilijonov gesel na dan z uporabo samo enega računalnika za posebne namene. (Današnje stopnje razbijanja MD5 so očitno približno pet do desetkrat hitrejše od tega, če uporabimo najnovejše grafične kartice.)
- Nepremišljeno zabeleženi podatki. Za transakcije, pri katerih je prišlo do neke vrste napake, je Zoetop shranil celotno transakcijo v dnevnik odpravljanja napak, očitno vključno s celotnimi podatki o kreditni kartici (predvidevamo, da je to vključevalo varnostno kodo ter dolgo številko in datum poteka). Toda tudi potem, ko je vedelo za kršitev, podjetje ni poskušalo ugotoviti, kje bi lahko shranilo tovrstne lažne podatke o plačilnih karticah v svojih sistemih.
- Nisem se mogel obremenjevati z načrtom odzivanja na incident. Ne samo, da podjetje ni imelo odzivnega načrta za kibernetsko varnost, preden se je zgodila kršitev, očitno se ni potrudilo, da bi ga pripravilo pozneje, preiskava pa navaja, da "ni pravočasno ukrepal, da bi zaščitil številne prizadete stranke."
- Okužen z vohunsko programsko opremo znotraj svojega sistema za obdelavo plačil. Kot je pojasnila preiskava, "kakršno koli odtujitev podatkov o plačilni kartici bi se [tako] zgodilo s prestrezanjem podatkov o kartici na mestu nakupa." Kot si lahko predstavljate, zaradi pomanjkanja načrta za odzivanje na incidente podjetje pozneje ni moglo povedati, kako dobro je delovala ta zlonamerna programska oprema za krajo podatkov, čeprav dejstvo, da so se podatki o kartici strank pojavili na temnem spletu, nakazuje, da so bili napadalci uspešno.
Nisem povedal resnice
Podjetje je bilo tudi ostro kritizirano zaradi nepoštenosti pri ravnanju s strankami, potem ko je vedelo za obseg napada.
Na primer, podjetje:
- Navedel je, da je bilo prizadetih 6,420,000 uporabnikov (tistih, ki so dejansko oddali naročila), čeprav je vedel, da je bilo ukradenih 39,000,000 zapisov uporabniških računov, vključno s tistimi neustrezno zgoščenimi gesli.
- Rekel je, da je stopil v stik s temi 6.42 milijona uporabniki, ko so bili dejansko obveščeni samo uporabniki v Kanadi, ZDA in Evropi.
- Strankam je povedal, da nima "nobenih dokazov, da so bili podatki o vaši kreditni kartici vzeti iz naših sistemov", kljub temu, da sta ju na kršitev opozorila dva vira, ki sta predstavila dokaze, ki močno nakazujejo natanko to.
Zdi se, da podjetje prav tako ni omenilo, da je vedelo, da je utrpelo okužbo z zlonamerno programsko opremo za krajo podatkov in da ni moglo predložiti dokazov, da napad ni prinesel ničesar.
Prav tako ni razkril, da je včasih zavestno shranil celotne podatke o kartici v dnevnike odpravljanja napak (vsaj 27,295 krat, pravzaprav), vendar dejansko ni poskušal izslediti teh lažnih dnevniških datotek v svojih sistemih, da bi videl, kje so končale ali kdo bi lahko imel dostop do njih.
Da bi bila škoda večja od žalitve, je preiskava nadalje ugotovila, da podjetje ni skladno s PCI DSS (njegovi lažni dnevniki odpravljanja napak so to zagotovili), da mu je bilo naloženo, da se podvrže forenzični preiskavi PCI, vendar je nato preiskovalcem zavrnilo dostop, ki so ga potrebovali. da opravljajo svoje delo.
Kot hudomušno ugotavljajo sodni dokumenti, "[n]Kljub temu je [forenzični preiskovalec, kvalificiran za PCI] v omejenem pregledu, ki ga je opravil, ugotovil več področij, na katerih sistemi Zoetop niso bili skladni s PCI DSS."
Morda najslabše od vsega, ko je podjetje junija 2020 odkrilo gesla s svojega spletnega mesta ROMWE za prodajo na temnem spletu in na koncu ugotovilo, da so bili ti podatki verjetno ukradeni med kršitvijo leta 2018, ki jo je že poskušalo prikriti ...
... njegov odziv je bil nekaj mesecev, da je prizadetim uporabnikom ponudil poziv za prijavo, ki obtožuje žrtev in pravi: »Vaše geslo ima nizko stopnjo varnosti in je lahko ogroženo. Prosimo, spremenite geslo za prijavo."
To sporočilo je bilo pozneje spremenjeno v stransko izjavo, ki pravi: »Vaše geslo ni bilo posodobljeno več kot 365 dni. Zaradi vaše zaščite ga prosimo posodobite zdaj.«
Šele decembra 2020, potem ko je bila na temnem spletu najdena druga serija gesel za prodajo, s čimer je del ROMWE očitno vdrl v več kot 7,000,000 računov, je podjetje svojim strankam priznalo, da so bili vmešani v kar je nesramno imenoval a "varnostni incident podatkov."
Kaj storiti?
Na žalost se zdi, da kazen v tem primeru ne povzroča velikega pritiska na "koga-mara-kibernetska varnost-ko-lahko-samo-plačaš-globo?" podjetjem storiti pravo stvar, bodisi pred, med ali po kibernetskem incidentu.
Bi morale biti kazni za tovrstno obnašanje višje?
Ali so finančne kazni prava pot, dokler obstajajo podjetja, za katera se zdi, da globe obravnavajo preprosto kot strošek poslovanja, ki ga je mogoče vnaprej vložiti v proračun?
Ali pa bi morala podjetja, ki utrpijo tovrstne kršitve, nato poskušati ovirati preiskovalce tretjih oseb in nato pred svojimi strankami prikriti celotno resnico o tem, kaj se je zgodilo ...
...preprosto preprečiti, da bi sploh trgovali, za ljubezen ali denar?
Povejte svoje mnenje v spodnjih komentarjih! (Lahko ostanete anonimni.)
Ni dovolj časa ali osebja?
Več o tem Upravljano odkrivanje in odziv Sophos:
24/7 lov na grožnje, odkrivanje in odziv ▶
- blockchain
- coingenius
- prikrivanje
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- kršitev varnosti podatkov
- izguba podatkov
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Skladnost z BDP
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- Gola varnost
- NY
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- ROME
- SHEIN
- VPN
- spletna varnost
- zefirnet
- Zoetop
