Çılgınca popüler olan SHEIN ve ROMWE “hızlı moda” markalarının eski sahibi olan Çinli şirket Zoetop, New York Eyaleti tarafından 1,900,000 dolar para cezasına çarptırıldı.
Başsavcı Letitia James olarak koymak geçen hafta yaptığı açıklamada:
SHEIN ve ROMWE'nin zayıf dijital güvenlik önlemleri, bilgisayar korsanlarının tüketicilerin kişisel verilerini çalmasını kolaylaştırdı.
Yeterince kötü değilmiş gibi, James devam etti:
[P]kişisel veriler çalındı ve Zoetop bunu örtbas etmeye çalıştı. Tüketicilerin kişisel verilerini korumamak ve bu konuda yalan söylemek moda değil. SHEIN ve ROMWE, tüketicileri dolandırıcılık ve kimlik hırsızlığından korumak için siber güvenlik önlemlerini artırmalıdır.
Açıkçası, Zoetop'un (şu anda ABD'de SHEIN Distribution Corporation) şirketin büyüklüğü, zenginliği ve marka gücü göz önüne alındığında, ortaya çıkan tehlikeyi önleyebilecek veya azaltabilecek temel önlemlerin bile eksikliğini göz önünde bulundurarak bu kadar hafife almasına şaşırdık. ihlali ve ihlalin öğrenilmesinden sonra ele alınmasında devam eden sahtekarlığı nedeniyle.
Yabancılar tarafından keşfedilen ihlal
Göre New York Başsavcılığı Zoetop, Haziran 2018'de meydana gelen ihlali tek başına fark etmedi bile.
Bunun yerine, Zoetop'un ödeme işlemcisi, iki kaynaktan gelen dolandırıcılık raporlarını takiben şirketin ihlal edildiğini anladı: bir kredi kartı şirketi ve bir banka.
Kredi kartı şirketi, bir yeraltı forumunda satılık SHEIN müşterilerinin kart verilerine rastladı, bu da verilerin şirketin kendisinden veya BT ortaklarından birinden toplu olarak edinildiğini düşündürdü.
Ve banka, SHEIN'i (eğer bunu daha önce çözmemiş olsaydınız, "parlama" değil, "içeride" olarak telaffuz edilir) olarak bilinen şey olarak tanımladı. CPP dolandırılan çok sayıda müşterinin ödeme geçmişlerinde.
CPP'nin kısaltması ortak satın alma noktası, ve tam olarak söylediği anlamına gelir: 100 müşteri bağımsız olarak kartlarıyla ilgili sahtekarlığı bildirirse ve 100 müşterinin tamamının yakın zamanda ödeme yaptığı tek ortak tüccar X şirketiyse…
… o zaman, çığır açan İngiliz epidemiyolog John Snow'un Londra'da 1854'te bir kolera salgınının izini sürmesiyle aynı şekilde, X'in "dolandırıcılık salgınının" olası bir nedeni olduğuna dair dolaylı kanıtlarınız var. kirli su pompası Broad Street, Soho'da.
Snow'un çalışması, hastalıkların basitçe “kötü hava yoluyla yayıldığı” fikrini ortadan kaldırmaya yardımcı oldu; tıbbi bir gerçeklik olarak “mikrop teorisini” kurdu ve halk sağlığı üzerine düşüncede devrim yarattı. Ayrıca nesnel ölçüm ve testin nedenler ve sonuçlar arasında bağlantı kurmada nasıl yardımcı olabileceğini gösterdi, böylece gelecekteki araştırmacıların imkansız açıklamalarla ve işe yaramaz “çözümler” arayarak zaman kaybetmemelerini sağladı.
Önlem almadı
Şaşırtıcı olmayan bir şekilde, şirketin ihlali ikinci elden öğrendiği göz önüne alındığında, New York soruşturması, işletmeyi siber güvenlik izlemesi ile uğraşmadığı için kınadı. "Düzenli harici güvenlik açığı taramaları çalıştırmadı veya güvenlik olaylarını belirlemek için denetim günlüklerini düzenli olarak izlemedi veya incelemedi."
Soruşturma ayrıca Zoetop'un şunları bildirdi:
- Kullanıcı şifrelerini kırmak için çok kolay kabul edilen bir şekilde karma. Görünüşe göre, parola karması, kullanıcının parolasını iki basamaklı rastgele bir tuzla birleştirmek ve ardından bir MD5 yinelemesinden oluşuyordu. Şifre kırma meraklılarından gelen raporlar, 8 donanımına sahip bağımsız bir 2016-GPU kırma teçhizatının o zamanlar saniyede 200,000,000,000 MD5'i çalkalayabileceğini gösteriyor (tuz genellikle herhangi bir ekstra hesaplama süresi eklemez). Bu, yalnızca bir özel amaçlı bilgisayar kullanarak günde yaklaşık 20 katrilyon parolayı denemeye eşdeğerdir. (Bugünün MD5 kırma oranları, görünüşe göre, son grafik kartlarını kullanarak bundan beş ila on kat daha hızlıdır.)
- Verileri pervasızca günlüğe kaydetti. Bir tür hatanın meydana geldiği işlemler için, Zoetop tüm işlemi bir hata ayıklama günlüğüne kaydetti, görünüşe göre tüm kredi kartı ayrıntıları dahil (bunun güvenlik kodunun yanı sıra uzun sayı ve son kullanma tarihini içerdiğini varsayıyoruz). Ancak şirket, ihlali öğrendikten sonra bile, bu tür sahte ödeme kartı verilerini sistemlerinde nerede sakladığını bulmaya çalışmadı.
- Bir olay müdahale planı ile rahatsız edilemezdi. Şirket, ihlal gerçekleşmeden önce yalnızca bir siber güvenlik müdahale planına sahip olmamakla kalmadı, görünüşe göre daha sonra bir siber güvenlik müdahale planı hazırlama zahmetine de girmedi. "etkilenen müşterilerin çoğunu korumak için zamanında harekete geçmedi."
- Ödeme işleme sistemi içinde bir casus yazılım bulaşmasına maruz kaldı. Soruşturmanın açıkladığı gibi, "Ödeme kartı verilerinin herhangi bir şekilde sızdırılması, satın alma noktasında kart verilerinin ele geçirilmesiyle [böylece] gerçekleşmiş olurdu." Tahmin edebileceğiniz gibi, bir olay müdahale planının olmaması nedeniyle, şirket daha sonra bu veri çalan kötü amaçlı yazılımın ne kadar iyi çalıştığını söyleyemedi, ancak müşterilerin kart ayrıntılarının karanlık ağda görünmesi saldırganların olduğunu gösteriyor. başarılı.
doğruyu söylemedi
Şirket ayrıca, saldırının kapsamını öğrendikten sonra müşterilerle nasıl başa çıktığı konusundaki sahtekârlığı nedeniyle de sert bir şekilde eleştirildi.
Örneğin, şirket:
- 6,420,000 kullanıcının (gerçekten sipariş vermiş olanlar) etkilendiğini belirtti, Buna rağmen, hatalı bir şekilde şifrelenmiş şifreler de dahil olmak üzere 39,000,000 kullanıcı hesabı kaydının çalındığını biliyordu.
- 6.42 milyon kullanıcıyla iletişim kurduğunu söyledi, aslında yalnızca Kanada, ABD ve Avrupa'daki kullanıcılar bilgilendirildi.
- Müşterilere “kredi kartı bilgilerinizin sistemlerimizden alındığına dair bir kanıt olmadığını” söyledi, Tam olarak bunu öneren kanıtlar sunan iki kaynak tarafından ihlal konusunda uyarılmış olmasına rağmen.
Görünüşe göre şirket, veri çalan bir kötü amaçlı yazılım bulaşmasına maruz kaldığını bildiğini ve saldırının hiçbir şey vermediğine dair kanıt üretemediğini söylemeyi de ihmal etti.
Ayrıca, bazen tam kart ayrıntılarını hata ayıklama günlüklerine bilerek kaydettiğini de açıklamayı başaramadı (en azından 27,295 kez, aslında), ancak gerçekte nerede olduklarını veya bunlara kimin erişebileceğini görmek için sistemlerinde bu sahte günlük dosyalarını izlemeye çalışmadı.
Hakarete zarar vermek için, soruşturma ayrıca şirketin PCI DSS uyumlu olmadığını (hilesiz hata ayıklama günlüklerinin bundan emin olduğunu) tespit etti, bir PCI adli soruşturmasına başvurması emredildi, ancak daha sonra araştırmacılara ihtiyaç duydukları erişime izin verilmedi. işlerini yapmak için.
Mahkeme belgelerinin alaycı bir şekilde belirttiği gibi, "[n]yine de, yaptığı sınırlı incelemede, [PCI nitelikli adli tıp araştırmacısı], Zoetop'un sistemlerinin PCI DSS ile uyumlu olmadığı birkaç alan buldu."
Belki de en kötüsü, şirket Haziran 2020'de dark web'de satılık ROMWE web sitesindeki şifreleri keşfettiğinde ve nihayetinde bu verilerin muhtemelen daha önce örtbas etmeye çalıştığı 2018 ihlalinde çalındığını fark ettiğinde…
…birkaç ay boyunca verdiği yanıt, etkilenen kullanıcılara kurbanı suçlayan bir oturum açma istemi sunmak oldu: “Parolanızın güvenlik düzeyi düşük ve risk altında olabilir. Lütfen giriş şifrenizi değiştirin”.
Bu mesaj daha sonra, şöyle bir şaşırtmaca ifadesine dönüştürüldü: “Şifreniz 365 günden fazla bir süredir güncellenmedi. Güvenliğiniz için lütfen şimdi güncelleyin.”
Sadece Aralık 2020'de, karanlık ağda ikinci bir satış için şifre diliminin bulunmasının ardından, görünüşe göre ihlalin ROMWE kısmını 7,000,000'den fazla hesaba getiren şirket, müşterilerine karıştırıldıklarını itiraf etti. mülayim olarak adlandırdığı şey "veri güvenliği olayı."
Ne yapalım?
Ne yazık ki, bu davadaki ceza, “para cezasını-ödeyebildiğiniz zaman-siber güvenlik hakkında-kimin umurunda?” üzerinde fazla baskı oluşturmuyor gibi görünüyor. şirketlerin bir siber güvenlik olayı öncesinde, sırasında veya sonrasında doğru olanı yapmalarını sağlamak.
Bu tür davranışlar için cezalar daha yüksek olmalı mı?
Para cezalarını önceden bütçeye dahil edilebilecek bir iş maliyeti olarak değerlendiren işletmeler olduğu sürece, mali cezalar gitmek için doğru yol mudur?
Veya bu tür ihlallere maruz kalan şirketler, üçüncü taraf araştırmacıları engellemeye çalışmalı ve ardından olan bitenin tüm gerçeğini müşterilerinden saklamalı mı?
...aşk ya da para için ticaret yapmaktan alıkonulur mu?
Aşağıdaki yorumlarda görüşlerinizi belirtin! (Anonim kalabilirsiniz.)
Yeterli zaman veya personel yok mu?
Hakkında daha fazla bilgi alın Sophos Tarafından Yönetilen Tespit ve Müdahale:
24/7 tehdit avı, tespiti ve müdahalesi ▶
- blockchain
- zeka
- Örtmek
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- veri ihlali
- Veri Kaybı
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- GSYİH uyumluluğu
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- New York
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- ROMWE
- Shein
- VPN
- web sitesi güvenliği
- zefirnet
- Zoetop
