فیشن برانڈ SHEIN کو ڈیٹا کی خلاف ورزی کے بارے میں جھوٹ بولنے پر $1.9m جرمانہ

افلاطون کے ذریعہ دوبارہ شائع کیا گیا۔

فالونگ: 0

چینی کمپنی Zoetop، جو جنگلی طور پر مقبول SHEIN اور ROMWE "فاسٹ فیشن" برانڈز کے سابق مالک ہیں، پر ریاست نیویارک نے $1,900,000 جرمانہ عائد کیا ہے۔

بطور اٹارنی جنرل لیٹیا جیمز رکھیں گزشتہ ہفتے ایک بیان میں:

SHEIN اور ROMWE کے کمزور ڈیجیٹل حفاظتی اقدامات نے ہیکرز کے لیے صارفین کا ذاتی ڈیٹا خریدنا آسان بنا دیا۔

گویا یہ کافی برا نہیں تھا، جیمز نے کہا:

ذاتی ڈیٹا چوری ہو گیا اور Zoetop نے اسے چھپانے کی کوشش کی۔ صارفین کے ذاتی ڈیٹا کی حفاظت میں ناکامی اور اس کے بارے میں جھوٹ بولنا رجحان کی بات نہیں ہے۔ SHEIN اور ROMWE کو صارفین کو دھوکہ دہی اور شناخت کی چوری سے بچانے کے لیے اپنے سائبر سیکیورٹی اقدامات کو بٹن اپ کرنا چاہیے۔

سچ کہوں تو ہم حیران ہیں کہ Zoetop (اب امریکہ میں SHEIN ڈسٹری بیوشن کارپوریشن) کمپنی کے سائز، دولت اور برانڈ کی طاقت کو دیکھتے ہوئے اس قدر ہلکے سے اتر گئی، اس میں بنیادی احتیاطی تدابیر کی بھی ظاہری کمی جو لاحق خطرے کو روک سکتی تھی یا کم کر سکتی تھی۔ خلاف ورزی کے ذریعہ، اور اس کے معلوم ہونے کے بعد خلاف ورزی کو سنبھالنے میں اس کی جاری بے ایمانی۔

.s-بٹن+.s-بٹن { مارجن-بائیں: .3125rem; } .s-بٹن { منتقلی: تمام .15s لکیری؛ فونٹ سائز: .875rem; لائن کی اونچائی: 1.5؛ رنگ: #f2f2f2؛ فونٹ فیملی: SophosSansMedium، Helvetica Neue، Helvetica، Arial، sans-serif؛ فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ ڈسپلے: ان لائن بلاک؛ پیڈنگ: .3125rem 1.25rem; کرسر: پوائنٹر؛ متن سیدھ: مرکز؛ متن کی سجاوٹ: کوئی نہیں؛ بارڈر: 1px ٹھوس #005bc8؛ سرحدی رداس: 3px؛ پس منظر کا رنگ: #005bc8؛ ٹیکسٹ شیڈو: کوئی نہیں؛ } .s-بٹن: ہوور { ٹیکسٹ ڈیکوریشن: کوئی نہیں؛ رنگ: #fff؛ بارڈر کا رنگ: #002d62؛ پس منظر کا رنگ: #002d62؛ } .s-بٹن–سفید، .s-بٹن–سفید: ہوور { رنگ: #005bc8 !اہم؛ بارڈر کا رنگ: #fff؛ پس منظر کا رنگ: #fff؛ } .s-ad-sophos-mdr { فونٹ سائز: 1rem; لائن کی اونچائی: 1.5؛ رنگ: #242629؛ فونٹ فیملی: SophosSansRegular، Helvetica Neue، Helvetica، Arial، sans-serif؛ فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ پوزیشن: رشتہ دار زیادہ سے زیادہ چوڑائی: 769px؛ مارجن: 15px آٹو؛ پیڈنگ: 30px 30px 25px؛ منتقلی: box-shadow .25s کیوبک-bezier( .645, .045, .355, 1 ); متن کی سیدھ: مرکز؛ پس منظر کا رنگ: #0d141d؛ background-repeat: no-repeat؛ پس منظر کی پوزیشن: 50٪؛ پس منظر کا سائز: کور باکس شیڈو: 0 0 0 0 0 شفاف؛ پس منظر کا رنگ: #005bc8؛ پس منظر کی تصویر: کوئی نہیں؛ پس منظر کی پوزیشن: 0 0; } .s-ad-sophos-mdr__title { فونٹ سائز: 2rem; لائن کی اونچائی: 1.125؛ مارجن نیچے: 4px؛ رنگ: #fff؛ } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ فونٹ سائز: 17px؛ رنگ: #fff؛ } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-بٹن { رنگ: #fff; } .s-ad-sophos-mdr__link- wrapper { متن کی سجاوٹ: کوئی نہیں؛ } .s-ad-sophos-mdr__link-wrapper: hover .s-ad-sophos-mdr { باکس شیڈو: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { پوزیشن: مطلق؛ اوپر: 15px؛ دائیں: 15px؛ } .s-ad-sophos-mdr__sophos-logo-svg { ڈسپلے: ان لائن بلاک؛ چوڑائی: 64px؛ اونچائی: 11px؛ عمودی سیدھ: اوپر؛ background-repeat: no-repeat؛ پس منظر کا سائز: 64px 11px؛ } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ فونٹ سائز: 28px؛ فونٹ کا وزن: 700؛ لائن کی اونچائی: 1؛ مارجن نیچے: 10px؛ متن سیدھ کریں: بائیں؛ } .s-ad-sophos-mdr__title svg { زیادہ سے زیادہ چوڑائی: 100%; } .s-ad-sophos-mdr__text { فونٹ سائز: 16px; لائن کی اونچائی: 1.25؛ متن سیدھ کریں: بائیں؛ } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s- بٹن { بارڈر ریڈیئس: 20px؛ } @media (کم سے کم چوڑائی:769px) { .s-ad-sophos-mdr__text { مارجن-دائیں: 140px; } .s-ad-sophos-mdr__action { پوزیشن: مطلق؛ دائیں: 30px؛ نیچے: 30px؛ } } @media (زیادہ سے زیادہ چوڑائی: 768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { فونٹ سائز: 1.625rem; } .s-ad-sophos-mdr__text { فونٹ سائز: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

خلاف ورزی بیرونی لوگوں کے ذریعہ دریافت ہوئی۔

کے مطابق نیو یارک کے اٹارنی جنرل کے دفتر، Zoetop نے اس خلاف ورزی کا نوٹس بھی نہیں لیا، جو جون 2018 میں ہوا تھا۔

اس کے بجائے، Zoetop کے ادائیگی کے پروسیسر نے دو ذرائع سے دھوکہ دہی کی رپورٹس کے بعد، ایک کریڈٹ کارڈ کمپنی اور ایک بینک کا پتہ لگایا کہ کمپنی کی خلاف ورزی کی گئی تھی۔

کریڈٹ کارڈ کمپنی کو ایک زیر زمین فورم پر فروخت کے لیے SHEIN صارفین کے کارڈ کا ڈیٹا ملا، جس سے معلوم ہوتا ہے کہ ڈیٹا بڑی تعداد میں خود کمپنی، یا اس کے آئی ٹی پارٹنرز میں سے ایک سے حاصل کیا گیا تھا۔

اور بینک نے SHEIN کی شناخت کی (جس کا تلفظ "she in" ہے، اگر آپ نے پہلے ہی اس پر کام نہیں کیا تھا، نہ کہ "شائن") کے طور پر جانا جاتا ہے سیپیپی متعدد صارفین کی ادائیگی کی تاریخوں میں جنھیں دھوکہ دیا گیا تھا۔

سی پی پی کے لیے مختصر ہے۔ خریداری کا عام نقطہ، اور اس کا مطلب بالکل وہی ہے جو یہ کہتا ہے: اگر 100 گاہک آزادانہ طور پر اپنے کارڈز کے خلاف دھوکہ دہی کی اطلاع دیتے ہیں، اور اگر واحد عام تاجر جس کو تمام 100 صارفین نے حال ہی میں ادائیگی کی ہے وہ کمپنی X ہے…

…پھر آپ کے پاس حالات سے متعلق ثبوت ہیں کہ X "فراڈ کے پھیلنے" کی ایک ممکنہ وجہ ہے، بالکل اسی طرح جس طرح برطانوی وبائی امراض کے ماہر جان سنو نے لندن میں 1854 میں ہیضے کی وباء کا سراغ لگایا تھا۔ آلودہ پانی پمپ براڈ اسٹریٹ، سوہو میں۔

برف کے کام نے اس خیال کو مسترد کرنے میں مدد کی کہ بیماریاں صرف "خراب ہوا سے پھیلتی ہیں"۔ ایک طبی حقیقت کے طور پر "جرم تھیوری" قائم کی، اور صحت عامہ کے بارے میں سوچ میں انقلاب برپا کیا۔ اس نے یہ بھی دکھایا کہ کس طرح معروضی پیمائش اور جانچ اسباب اور اثرات کو جوڑنے میں مدد کر سکتی ہے، اس طرح اس بات کو یقینی بناتا ہے کہ مستقبل کے محققین ناممکن وضاحتوں اور بیکار "حل" تلاش کرنے میں وقت ضائع نہیں کرتے ہیں۔

احتیاطی تدابیر اختیار نہیں کیں۔

حیرت کی بات نہیں، یہ دیکھتے ہوئے کہ کمپنی کو دوسرے ہاتھ کی خلاف ورزی کے بارے میں پتہ چلا، نیویارک کی تحقیقات نے سائبرسیکیوریٹی مانیٹرنگ سے پریشان نہ ہونے کے لیے کاروبار کو تنقید کا نشانہ بنایا، یہ دیکھتے ہوئے کہ یہ "سیکیورٹی کے واقعات کی نشاندہی کرنے کے لیے باقاعدہ بیرونی خطرات کے اسکین نہیں چلائے یا باقاعدگی سے آڈٹ لاگز کی نگرانی یا جائزہ نہیں لیا۔"

تحقیقات نے یہ بھی بتایا کہ Zoetop:

ہیشڈ صارف کے پاس ورڈز کو اس طرح سے کریک کرنا بہت آسان سمجھا جاتا ہے۔ بظاہر، پاس ورڈ ہیشنگ میں صارف کے پاس ورڈ کو دو ہندسوں کے بے ترتیب نمک کے ساتھ ملانا شامل ہے، جس کے بعد MD5 کا ایک تکرار ہوتا ہے۔ پاس ورڈ کریکنگ کے شوقین افراد کی رپورٹس بتاتی ہیں کہ 8 کے ہارڈ ویئر کے ساتھ ایک اسٹینڈ اسٹون 2016-GPU کریکنگ رگ اس وقت ایک سیکنڈ میں 200,000,000,000 MD5s سے گزر سکتی ہے (نمک عام طور پر حساب میں کوئی اضافی وقت نہیں ڈالتا)۔ یہ صرف ایک خاص مقصد والے کمپیوٹر کا استعمال کرتے ہوئے ایک دن میں تقریباً 20 quadrillion پاس ورڈز آزمانے کے مترادف ہے۔ (حالیہ گرافکس کارڈز کا استعمال کرتے ہوئے، آج کی MD5 کریکنگ کی شرح بظاہر اس سے پانچ سے دس گنا زیادہ تیز ہے۔)
لاپرواہی سے ڈیٹا لاگ کیا۔ ان لین دین کے لیے جہاں کسی قسم کی خرابی واقع ہوئی ہو، Zoetop نے پوری ٹرانزیکشن کو ڈیبگ لاگ میں محفوظ کر لیا، بظاہر کریڈٹ کارڈ کی مکمل تفصیلات سمیت (ہم فرض کر رہے ہیں کہ اس میں سیکیورٹی کوڈ کے ساتھ ساتھ طویل نمبر اور ایکسپائری ڈیٹ بھی شامل ہے)۔ لیکن خلاف ورزی کے بارے میں جاننے کے بعد بھی، کمپنی نے یہ جاننے کی کوشش نہیں کی کہ اس نے اس طرح کے بدمعاش ادائیگی کارڈ کے ڈیٹا کو اپنے سسٹمز میں کہاں محفوظ کیا ہے۔
واقعہ کے ردعمل کے منصوبے سے پریشان نہیں ہو سکتا۔ کمپنی نہ صرف خلاف ورزی سے پہلے سائبرسیکیوریٹی رسپانس پلان بنانے میں ناکام رہی بلکہ اس نے بظاہر بعد میں اس کے ساتھ آنے کی زحمت نہیں کی، تحقیقات کے مطابق یہ "بہت سے متاثرہ صارفین کی حفاظت کے لیے بروقت کارروائی کرنے میں ناکام رہا۔"
اس کے پیمنٹ پروسیسنگ سسٹم کے اندر اسپائی ویئر انفیکشن کا سامنا کرنا پڑا۔ جیسا کہ تحقیقات نے وضاحت کی، "پیمنٹ کارڈ کے ڈیٹا کی کسی بھی قسم کی افزائش [اس طرح] خریداری کے مقام پر کارڈ ڈیٹا کو روکنے سے ہوئی ہوگی۔" جیسا کہ آپ تصور کر سکتے ہیں، واقعے کے جوابی منصوبے کی کمی کے پیش نظر، کمپنی بعد میں یہ بتانے کے قابل نہیں تھی کہ اس ڈیٹا چوری کرنے والے میلویئر نے کتنا اچھا کام کیا، حالانکہ یہ حقیقت کہ صارفین کے کارڈ کی تفصیلات ڈارک ویب پر ظاہر ہوتی ہیں، یہ بتاتی ہے کہ حملہ آور کامیاب

سچ نہیں بتایا

کمپنی کو اس کی بے ایمانی کے لیے بھی گولی باری تنقید کا نشانہ بنایا گیا کہ اس نے حملے کی حد جاننے کے بعد صارفین کے ساتھ کس طرح برتاؤ کیا۔

مثال کے طور پر، کمپنی:

نے بتایا کہ 6,420,000 صارفین (وہ لوگ جنہوں نے حقیقت میں آرڈرز دیے تھے) متاثر ہوئے، حالانکہ یہ جانتا تھا کہ 39,000,000 صارف کے اکاؤنٹ کے ریکارڈ، بشمول وہ غیر مناسب طریقے سے ہیش کیے گئے پاس ورڈز، چوری ہو گئے تھے۔
کہا کہ اس نے ان 6.42 ملین صارفین سے رابطہ کیا ہے، جب حقیقت میں صرف کینیڈا، امریکہ اور یورپ کے صارفین کو مطلع کیا گیا تھا۔
صارفین کو بتایا کہ اس کے پاس "اس بات کا کوئی ثبوت نہیں ہے کہ آپ کے کریڈٹ کارڈ کی معلومات ہمارے سسٹمز سے لی گئی ہیں"، دو ذرائع کی طرف سے خلاف ورزی کے بارے میں متنبہ ہونے کے باوجود جنہوں نے ثبوت پیش کیے جو کہ بالکل ٹھیک تجویز کرتے ہیں۔

ایسا لگتا ہے کہ کمپنی نے اس بات کا ذکر کرنے سے بھی غفلت برتی کہ اسے معلوم تھا کہ اسے ڈیٹا چوری کرنے والے میلویئر انفیکشن کا سامنا کرنا پڑا ہے اور وہ اس بات کا ثبوت پیش کرنے میں ناکام رہی ہے کہ اس حملے سے کچھ حاصل نہیں ہوا۔

یہ یہ ظاہر کرنے میں بھی ناکام رہا کہ اس نے بعض اوقات جان بوجھ کر کارڈ کی مکمل تفصیلات ڈیبگ لاگز میں محفوظ کیں (کم از کم 27,295 اوقات, درحقیقت)، لیکن حقیقت میں ان بدمعاش لاگ فائلوں کو اپنے سسٹمز میں ٹریک کرنے کی کوشش نہیں کی تاکہ یہ معلوم کیا جا سکے کہ وہ کہاں تک پہنچی ہیں یا ان تک کس کی رسائی ہو سکتی ہے۔

توہین میں چوٹ شامل کرنے کے لیے، تفتیش میں مزید پتہ چلا کہ کمپنی PCI DSS کے مطابق نہیں تھی (اس کے بدمعاش ڈیبگ لاگز نے اس بات کو یقینی بنایا)، اسے PCI فرانزک تفتیش میں جمع کرانے کا حکم دیا گیا، لیکن پھر تفتیش کاروں کو اس تک رسائی کی اجازت دینے سے انکار کر دیا جس کی انہیں ضرورت تھی۔ ان کے کام کرنے کے لئے.

جیسا کہ عدالتی دستاویزات واضح طور پر نوٹ کرتی ہیں، "[n]اس کے باوجود، اس کے کئے گئے محدود جائزے میں، [PCI- اہل فرانزک تفتیش کار] کو کئی ایسے شعبے ملے جن میں Zoetop کے نظام PCI DSS کے مطابق نہیں تھے۔"

شاید سب سے بری بات، جب کمپنی نے جون 2020 میں ڈارک ویب پر فروخت کے لیے اپنی ROMWE ویب سائٹ سے پاس ورڈ دریافت کیے، اور بالآخر اسے احساس ہوا کہ یہ ڈیٹا شاید 2018 کی خلاف ورزی میں چوری ہو گیا تھا جسے اس نے پہلے ہی چھپانے کی کوشش کی تھی…

…اس کا ردعمل، کئی مہینوں تک، متاثرہ صارفین کو ایک شکار پر الزام لگانے والے لاگ ان پرامپٹ کے ساتھ پیش کرنا تھا، "آپ کے پاس ورڈ کی حفاظت کی سطح کم ہے اور یہ خطرے میں ہو سکتا ہے۔ براہ کرم اپنا لاگ ان پاس ورڈ تبدیل کریں۔"

اس پیغام کو بعد میں ایک متنوع بیان میں تبدیل کر دیا گیا جس میں کہا گیا تھا، "آپ کا پاس ورڈ 365 دنوں سے زیادہ میں اپ ڈیٹ نہیں ہوا ہے۔ آپ کی حفاظت کے لیے، براہ کرم اسے ابھی اپ ڈیٹ کریں۔"

صرف دسمبر 2020 میں، ڈارک ویب پر پاس ورڈ برائے فروخت کی دوسری قسط ملنے کے بعد، بظاہر خلاف ورزی کے ROMWE حصے کو 7,000,000 سے زیادہ اکاؤنٹس تک پہنچانے کے بعد، کیا کمپنی نے اپنے صارفین کے سامنے تسلیم کیا کہ وہ اس میں گھل مل گئے تھے؟ جس کو بے دردی سے کہا جاتا ہے۔ "ڈیٹا سیکیورٹی کا واقعہ۔"

کیا کیا جائے؟

بدقسمتی سے، اس معاملے میں سزا سے "سائبرسیکیوریٹی کے بارے میں-کون-پرواہ کرتا ہے-جب-آپ-صرف-جرمانہ ادا کر سکتے ہیں؟" پر زیادہ دباؤ نہیں ڈالتا۔ کمپنیاں صحیح کام کریں، چاہے سائبر سیکیورٹی کے واقعے سے پہلے، دوران یا بعد میں۔

کیا اس طرز عمل کی سزا زیادہ ہونی چاہیے؟

جب تک کہ وہاں ایسے کاروبار موجود ہیں جو جرمانے کو محض کاروبار کی لاگت کے طور پر سمجھتے ہیں جس پر بجٹ میں پیشگی کام کیا جا سکتا ہے، کیا مالی جرمانے بھی جانے کا صحیح طریقہ ہیں؟

یا ایسی کمپنیاں جو اس طرح کی خلاف ورزیوں کا شکار ہوں، پھر فریق ثالث کے تفتیش کاروں کو روکنے کی کوشش کریں، اور پھر اپنے صارفین سے جو کچھ ہوا اس کی مکمل حقیقت چھپانے کی کوشش کریں…

…صرف محبت یا پیسے کے لیے تجارت سے بالکل بھی روکا جائے؟

ذیل میں تبصرے میں اپنی رائے دیں! (آپ گمنام رہ سکتے ہیں۔)

کافی وقت یا عملہ نہیں؟
کے بارے میں مزید معلومات حاصل کریں سوفوس نے کھوج اور جواب کا انتظام کیا۔:
24/7 خطرے کا شکار، پتہ لگانے، اور ردعمل ▶

ٹائم اسٹیمپ: اکتوبر 17، 2022اکتوبر 17، 2022