Det kinesiska företaget Zoetop, tidigare ägare till de omåttligt populära SHEIN och ROMWE "fast fashion"-märkena, har bötfällts med 1,900,000 XNUMX XNUMX $ av staten New York.
Som justitiekansler Letitia James Ställ det i ett uttalande förra veckan:
SHEIN och ROMWE:s svaga digitala säkerhetsåtgärder gjorde det enkelt för hackare att snatta konsumenters personuppgifter.
Som om det inte vore illa nog fortsatte James med att säga:
[P]personlig data stals och Zoetop försökte dölja det. Att misslyckas med att skydda konsumenternas personuppgifter och ljuga om det är inte trendigt. SHEIN och ROMWE måste skärpa sina cybersäkerhetsåtgärder för att skydda konsumenter från bedrägeri och identitetsstöld.
Uppriktigt sagt är vi förvånade över att Zoetop (nu SHEIN Distribution Corporation i USA) gick så lätt, med tanke på företagets storlek, rikedom och varumärkesstyrka, dess uppenbara avsaknad av ens grundläggande försiktighetsåtgärder som kunde ha förebyggt eller minskat faran. av intrånget och dess pågående oärlighet i hanteringen av intrånget efter att det blev känt.
Intrång upptäckt av utomstående
Enligt byrån för justitieministern i New York, Zoetop märkte inte ens intrånget, som skedde i juni 2018, av sig självt.
Istället räknade Zoetops betalningsprocessor ut att företaget hade brutits efter bedrägerirapporter från två källor: ett kreditkortsföretag och en bank.
Kreditkortsföretaget hittade SHEIN-kunders kortdata för försäljning på ett underjordiskt forum, vilket tyder på att uppgifterna hade inhämtats i bulk från företaget självt, eller en av dess IT-partner.
Och banken identifierade SHEIN (uttalas "she in", om du inte hade räknat ut det redan, inte "shine") för att vara vad som kallas en CPP i betalningshistoriken för många kunder som hade blivit lurade.
CPP är en förkortning för gemensamt inköpsställe, och betyder exakt vad det står: om 100 kunder oberoende rapporterar bedrägerier mot sina kort, och om den enda vanliga handlaren till vilken alla 100 kunder nyligen gjort betalningar är företag X...
…så har du indicier för att X är en trolig orsak till "bedrägeriutbrottet", på samma sätt som den banbrytande brittiske epidemiologen John Snow spårade ett kolerautbrott 1854 i London tillbaka till en förorenad vattenpump på Broad Street, Soho.
Snows arbete hjälpte till att avfärda idén att sjukdomar helt enkelt "spreds genom ful luft"; etablerade "bakterieteori" som en medicinsk verklighet och revolutionerade tänkandet om folkhälsa. Han visade också hur objektiv mätning och testning kunde hjälpa till att koppla samman orsaker och effekter, och på så sätt säkerställa att framtida forskare inte slösade bort tid på att komma på omöjliga förklaringar och söka värdelösa "lösningar".
Vidtog inga försiktighetsåtgärder
Föga överraskande, med tanke på att företaget fick reda på intrånget i andra hand, kritiserade New York-utredningen företaget för att inte bry sig om cybersäkerhetsövervakning, med tanke på att det "körde inte regelbundna externa sårbarhetssökningar eller övervakade eller granskade regelbundet granskningsloggar för att identifiera säkerhetsincidenter."
Undersökningen rapporterade också att Zoetop:
- Hashade användarlösenord på ett sätt som anses vara för lätt att knäcka. Uppenbarligen bestod lösenordshasningen av att kombinera användarens lösenord med ett tvåsiffrigt slumpmässigt salt, följt av en iteration av MD5. Rapporter från entusiaster för lösenordsknäckning tyder på att en fristående 8-GPU-krackningsrigg med 2016 års hårdvara kunde köra igenom 200,000,000,000 5 20 5 MDXNUMX:er en sekund då (saltet lägger vanligtvis inte till någon extra beräkningstid). Det motsvarar att testa nästan XNUMX kvadrilljoner lösenord om dagen med bara en speciell dator. (Dagens MDXNUMX-krackningshastigheter är uppenbarligen cirka fem till tio gånger snabbare än så, med de senaste grafikkorten.)
- Loggade data hänsynslöst. För transaktioner där någon form av fel inträffade, sparade Zoetop hela transaktionen i en felsökningslogg, uppenbarligen inklusive fullständiga kreditkortsuppgifter (vi antar att detta inkluderade säkerhetskoden såväl som långt nummer och utgångsdatum). Men även efter att företaget kände till intrånget försökte företaget inte ta reda på var det kunde ha lagrat den här sortens oseriösa betalkortsdata i sina system.
- Kunde inte besväras av en incidentresponsplan. Inte bara misslyckades företaget med att ha en cybersäkerhetsresponsplan innan intrånget inträffade, det brydde sig tydligen inte om att komma med en efteråt, med utredningen som säger att det "misslyckades med att vidta åtgärder i tid för att skydda många av de drabbade kunderna."
- Har drabbats av en spionprograminfektion i sitt betalningssystem. Som utredningen förklarade, "någon exfiltrering av betalkortsdata skulle [således] ha skett genom att fånga upp kortdata vid inköpsstället." Som ni kan föreställa er, med tanke på avsaknaden av en incidentresponsplan, kunde företaget senare inte berätta hur väl denna datastöldande skadlig programvara hade fungerat, även om det faktum att kundernas kortuppgifter dök upp på den mörka webben tyder på att angriparna var framgångsrik.
Sa inte sanningen
Företaget kritiserades också kraftigt för sin oärlighet i hur det hanterade kunder efter att det visste omfattningen av attacken.
Till exempel företaget:
- Uppgav att 6,420,000 XNUMX XNUMX användare (de som faktiskt hade lagt beställningar) påverkades, även om den visste att 39,000,000 XNUMX XNUMX användarkontoposter, inklusive dessa olämpligt hashade lösenord, stals.
- Sa att det hade kontaktat dessa 6.42 miljoner användare, när det faktiskt bara var användare i Kanada, USA och Europa som informerades.
- Berättade för kunder att det inte hade "inga bevis för att din kreditkortsinformation togs från våra system", trots att de blivit uppmärksammade på intrånget av två källor som presenterade bevis som starkt tyder på just det.
Det verkar som att företaget också försummade att nämna att det visste att det hade drabbats av en skadlig programvara som stjäl data och inte hade kunnat producera bevis för att attacken inte hade gett något.
Den misslyckades också med att avslöja att den ibland medvetet sparade fullständiga kortdetaljer i felsökningsloggar (åtminstone 27,295 gånger, faktiskt), men försökte faktiskt inte spåra de där oseriösa loggfilerna i sina system för att se var de hamnade eller vem som kan ha haft tillgång till dem.
För att lägga skada till förolämpning fann undersökningen vidare att företaget inte var PCI DSS-kompatibelt (dess oseriösa felsökningsloggar säkerställde det), beordrades att underkasta sig en PCI-kriminalteknisk utredning, men vägrade sedan att ge utredarna den åtkomst de behövde att göra sitt arbete.
Som domstolshandlingarna snett noterar, "[n]ej desto mindre, i den begränsade granskning som den genomförde, fann den [PCI-kvalificerade kriminaltekniska utredaren] flera områden där Zoetops system inte var kompatibla med PCI DSS."
Kanske värst av allt, när företaget upptäckte lösenord från sin ROMWE-webbplats till salu på den mörka webben i juni 2020, och till slut insåg att denna data förmodligen stals tillbaka i 2018 års intrång som det redan hade försökt dölja...
…dess svar, under flera månader, var att presentera drabbade användare med en inloggningsuppmaning som skyller offer som säger, "Ditt lösenord har en låg säkerhetsnivå och kan vara i fara. Vänligen ändra ditt inloggningslösenord”.
Det meddelandet ändrades senare till ett avledningsuttalande som sa: "Ditt lösenord har inte uppdaterats på mer än 365 dagar. För ditt skydd, uppdatera den nu."
Först i december 2020, efter att en andra del av lösenord för försäljning hittades på den mörka webben, vilket uppenbarligen förde ROMWE-delen av intrånget till mer än 7,000,000 XNUMX XNUMX konton, erkände företaget för sina kunder att de hade blandats in i vad det intetsägande hänvisade till som en "datasäkerhetsincident."
Vad göra?
Tyvärr verkar straffet i det här fallet inte sätta någon större press på "vem-bryr-om-cybersäkerhet-när-du-bara-kan-betala-böterna?" företag att göra rätt sak, vare sig före, under eller efter en cybersäkerhetsincident.
Bör straffen för denna typ av beteende vara högre?
Så länge det finns företag där ute som verkar behandla böter helt enkelt som en affärskostnad som kan arbetas in i budgeten i förväg, är ekonomiska påföljder ens rätt väg att gå?
Eller ska företag som drabbas av intrång av detta slag försöka hindra utredare från tredje part och sedan dölja hela sanningen om vad som hände för deras kunder...
… helt enkelt hindras från att handla alls, för kärlek eller pengar?
Säg din mening i kommentarerna nedan! (Du kan förbli anonym.)
Inte tillräckligt med tid eller personal?
Läs mer om Sophos Managed Detection and Response:
24/7 hotjakt, upptäckt och respons ▶
- blockchain
- coingenius
- mörkläggning
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- dataintrång
- dataförlust
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- GDPR-överensstämmelse
- kaspersky
- malware
- Mcafee
- Naken säkerhet
- New York
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- ROMWE
- Shein
- VPN
- webbplats säkerhet
- zephyrnet
- Zoetop
![S3 Ep124: När så kallade säkerhetsappar blir oseriösa [Audio + Text]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
