Thương hiệu thời trang SHEIN bị phạt 1.9 triệu đô la vì nói dối về vi phạm dữ liệu

Công ty Zoetop của Trung Quốc, cựu chủ sở hữu của các thương hiệu “thời trang nhanh” SHEIN và ROMWE cực kỳ nổi tiếng, đã bị Tiểu bang New York phạt 1,900,000 đô la.

Như Tổng chưởng lý Letitia James đặt nó trong một tuyên bố vào tuần trước:

Các biện pháp bảo mật kỹ thuật số yếu kém của SHEIN và ROMWE đã khiến tin tặc dễ dàng lấy cắp dữ liệu cá nhân của người tiêu dùng.

Như thể điều đó chưa đủ tệ, James tiếp tục nói:

[P] dữ liệu cá nhân đã bị đánh cắp và Zoetop đã cố gắng che đậy nó. Không bảo vệ dữ liệu cá nhân của người tiêu dùng và nói dối về nó là không hợp thời. SHEIN và ROMWE phải thực hiện các biện pháp an ninh mạng của họ để bảo vệ người tiêu dùng khỏi gian lận và đánh cắp danh tính.

Thành thật mà nói, chúng tôi rất ngạc nhiên khi Zoetop (nay là SHEIN Distribution Corporation tại Hoa Kỳ) đã thành công quá nhẹ nhàng, xét về quy mô, sự giàu có và sức mạnh thương hiệu của công ty, rõ ràng là họ đã thiếu các biện pháp phòng ngừa cơ bản có thể ngăn chặn hoặc giảm thiểu nguy cơ gây ra. bởi vi phạm và sự thiếu trung thực liên tục trong việc xử lý vi phạm sau khi nó được biết đến.

Vi phạm do người ngoài phát hiện

Theo Văn phòng Bộ trưởng Tư pháp New York, Zoetop thậm chí còn không nhận thấy vụ vi phạm, xảy ra vào tháng 2018 năm XNUMX.

Thay vào đó, bộ xử lý thanh toán của Zoetop đã phát hiện ra rằng công ty đã bị vi phạm, sau các báo cáo gian lận từ hai nguồn: một công ty thẻ tín dụng và một ngân hàng.

Công ty thẻ tín dụng đã tìm thấy dữ liệu thẻ của khách hàng SHEIN để bán trên một diễn đàn ngầm, cho thấy rằng dữ liệu đã được mua hàng loạt từ chính công ty hoặc một trong những đối tác CNTT của công ty.

Và ngân hàng đã xác định SHEIN (phát âm là "she in", nếu bạn chưa làm việc đó, không phải "tỏa sáng") là cái được gọi là CPP trong lịch sử thanh toán của nhiều khách hàng đã bị lừa đảo.

CPP là viết tắt của điểm chung của việc mua hàngvà có nghĩa chính xác như những gì nó nói: nếu 100 khách hàng độc lập báo cáo gian lận đối với thẻ của họ và nếu người bán thông thường duy nhất mà tất cả 100 khách hàng đã thực hiện thanh toán gần đây là công ty X…

… Thì bạn có bằng chứng ngẫu nhiên cho thấy X có khả năng là nguyên nhân gây ra “sự bùng phát gian lận”, giống như cách mà nhà dịch tễ học người Anh John Snow đột phá đã theo dõi vụ bùng phát dịch tả năm 1854 ở London trở lại máy bơm nước ô nhiễm ở Broad Street, Soho.

Công việc của Snow đã giúp bác bỏ ý kiến ​​cho rằng chứng giảm mỡ chỉ đơn giản là "lan truyền qua không khí hôi"; thành lập "lý thuyết vi trùng" như một thực tế y tế, và cách mạng hóa tư duy về sức khỏe cộng đồng. Ông cũng chỉ ra cách đo lường và thử nghiệm khách quan có thể giúp kết nối nguyên nhân và kết quả, do đó đảm bảo rằng các nhà nghiên cứu trong tương lai không lãng phí thời gian để đưa ra những lời giải thích không thể và tìm kiếm “giải pháp” vô ích.

Không đề phòng

Không có gì đáng ngạc nhiên, cho rằng công ty đã phát hiện ra vi phạm lần thứ hai, cuộc điều tra ở New York đã buộc doanh nghiệp không quan tâm đến việc giám sát an ninh mạng, cho rằng nó "Đã không chạy quét lỗ hổng bảo mật bên ngoài thường xuyên hoặc thường xuyên theo dõi hoặc xem xét nhật ký kiểm tra để xác định các sự cố bảo mật."

Cuộc điều tra cũng báo cáo rằng Zoetop:

• Mật khẩu người dùng đã băm theo cách được coi là quá dễ để bẻ khóa. Rõ ràng, băm mật khẩu bao gồm việc kết hợp mật khẩu của người dùng với một muối ngẫu nhiên gồm hai chữ số, sau đó là một lần lặp lại MD5. Báo cáo từ những người đam mê bẻ khóa mật khẩu cho thấy rằng một giàn bẻ khóa 8 GPU độc lập với phần cứng năm 2016 có thể chạy qua 200,000,000,000 MD5s một giây vào thời điểm đó (muối thường không thêm bất kỳ thời gian tính toán nào). Điều đó tương đương với việc thử gần 20 triệu mật khẩu mỗi ngày chỉ bằng một máy tính chuyên dụng. (Tốc độ bẻ khóa MD5 ngày nay dường như nhanh hơn khoảng XNUMX đến XNUMX lần so với tốc độ sử dụng các cạc đồ họa gần đây).
• Dữ liệu được ghi lại một cách thiếu thận trọng. Đối với các giao dịch xảy ra một số lỗi, Zoetop đã lưu toàn bộ giao dịch vào nhật ký gỡ lỗi, dường như bao gồm đầy đủ chi tiết thẻ tín dụng (chúng tôi giả định rằng điều này bao gồm mã bảo mật cũng như số dài và ngày hết hạn). Nhưng ngay cả sau khi biết về vụ vi phạm, công ty đã không cố gắng tìm ra nơi có thể đã lưu trữ loại dữ liệu thẻ thanh toán giả mạo này trong hệ thống của mình.
• Không thể bị làm phiền với một kế hoạch ứng phó sự cố. Công ty không chỉ không có kế hoạch ứng phó với an ninh mạng trước khi vi phạm xảy ra, mà dường như họ không bận tâm đến việc đưa ra một kế hoạch sau đó, với cuộc điều tra cho biết rằng "Đã không thực hiện hành động kịp thời để bảo vệ nhiều khách hàng bị ảnh hưởng."
• Bị nhiễm phần mềm gián điệp bên trong hệ thống xử lý thanh toán của nó. Như cuộc điều tra đã giải thích, "Bất kỳ sự xâm nhập dữ liệu thẻ thanh toán nào [do đó] sẽ xảy ra bằng cách chặn dữ liệu thẻ tại thời điểm mua hàng." Như bạn có thể tưởng tượng, do thiếu kế hoạch ứng phó sự cố, công ty sau đó không thể biết phần mềm độc hại ăn cắp dữ liệu này đã hoạt động tốt như thế nào, mặc dù thực tế là chi tiết thẻ của khách hàng xuất hiện trên dark web cho thấy rằng những kẻ tấn công đã thành công.

Đã không nói sự thật

Công ty cũng bị chỉ trích nặng nề vì sự thiếu trung thực trong cách đối xử với khách hàng sau khi biết mức độ của vụ tấn công.

Ví dụ, công ty:

• Đã nói rằng 6,420,000 người dùng (những người đã thực sự đặt hàng) bị ảnh hưởng, mặc dù nó biết rằng 39,000,000 bản ghi tài khoản người dùng, bao gồm cả những mật khẩu được băm không cẩn thận, đã bị đánh cắp.
• Cho biết họ đã liên hệ với 6.42 triệu người dùng đó, trong khi trên thực tế, chỉ người dùng ở Canada, Mỹ và Châu Âu mới được thông báo.
• Nói với khách hàng rằng họ không có "bằng chứng nào cho thấy thông tin thẻ tín dụng của bạn đã được lấy từ hệ thống của chúng tôi", mặc dù đã được cảnh báo về vi phạm bởi hai nguồn đã đưa ra bằng chứng rõ ràng cho thấy chính xác điều đó.

Có vẻ như công ty cũng đã bỏ qua việc đề cập rằng họ biết rằng họ đã bị nhiễm phần mềm độc hại ăn cắp dữ liệu và không thể đưa ra bằng chứng rằng cuộc tấn công không mang lại kết quả gì.

Nó cũng không tiết lộ rằng đôi khi nó cố ý lưu chi tiết thẻ đầy đủ trong nhật ký gỡ lỗi (ít nhất là 27,295 lần, trên thực tế), nhưng không thực sự cố gắng theo dõi các tệp nhật ký giả mạo đó trong hệ thống của nó để xem chúng đã đến đâu hoặc ai có thể đã có quyền truy cập vào chúng.

Để tăng thêm tổn thương cho sự xúc phạm, cuộc điều tra thêm cho thấy rằng công ty không tuân thủ PCI DSS (nhật ký gỡ lỗi giả mạo của nó đã đảm bảo điều đó), đã được yêu cầu gửi cho một cuộc điều tra pháp y PCI, nhưng sau đó từ chối cho phép các điều tra viên truy cập mà họ cần. để làm công việc của họ.

Khi các tài liệu của tòa án lưu ý một cách dí dỏm, “[N] tuy nhiên, trong cuộc đánh giá hạn chế mà nó tiến hành, [điều tra viên pháp y có trình độ PCI] đã tìm thấy một số khu vực mà hệ thống của Zoetop không tuân thủ PCI DSS.”

Có lẽ điều tồi tệ nhất là khi công ty phát hiện ra mật khẩu từ trang web ROMWE của mình để bán trên dark web vào tháng 2020 năm 2018 và cuối cùng nhận ra rằng dữ liệu này có thể đã bị đánh cắp trong vụ vi phạm năm XNUMX mà họ đã cố gắng che đậy…

… Phản ứng của nó, trong vài tháng, là đưa ra cho người dùng bị ảnh hưởng một lời nhắc đăng nhập đổ lỗi cho nạn nhân nói rằng, “Mật khẩu của bạn có mức độ bảo mật thấp và có thể gặp rủi ro. Vui lòng thay đổi mật khẩu đăng nhập của bạn ”.

Thông điệp đó sau đó đã được thay đổi thành một tuyên bố nghi binh nói rằng, “Mật khẩu của bạn chưa được cập nhật trong hơn 365 ngày. Để bảo vệ bạn, vui lòng cập nhật nó ngay bây giờ. ”

Chỉ vào tháng 2020 năm 7,000,000, sau khi đợt bán mật khẩu thứ hai được tìm thấy trên dark web, dường như đưa phần ROMWE của vụ vi phạm lên hơn XNUMX tài khoản, công ty mới thừa nhận với khách hàng rằng họ đã bị trộn vào những gì nó được gọi một cách nhạt nhẽo như một "Sự cố bảo mật dữ liệu."

Phải làm gì?

Thật không may, hình phạt trong trường hợp này dường như không gây nhiều áp lực đối với "ai-quan tâm-đến-an ninh mạng-khi-bạn-có-thể-chỉ-cần-trả-tiền-phạt?" các công ty phải làm điều đúng đắn, cho dù trước, trong hoặc sau một sự cố an ninh mạng.

Hình phạt cho loại hành vi này có nên cao hơn không?

Chừng nào còn có những doanh nghiệp ngoài kia dường như coi tiền phạt chỉ đơn giản là một khoản chi phí kinh doanh có thể được nộp vào ngân sách từ trước, thì liệu phạt tài chính có phải là cách đúng đắn để đi?

Hoặc nếu các công ty bị vi phạm loại này, sau đó cố gắng cản trở các nhà điều tra bên thứ ba và sau đó che giấu sự thật đầy đủ về những gì đã xảy ra với khách hàng của họ…

… Chỉ đơn giản là bị ngăn cản giao dịch, vì tình yêu hay tiền bạc?

Có tiếng nói của bạn trong các bình luận bên dưới! (Bạn có thể ẩn danh.)

---

Không đủ thời gian hoặc nhân viên?
Tìm hiểu thêm về Phản hồi và phát hiện được quản lý của Sophos:
Tìm kiếm, phát hiện và phản ứng mối đe dọa 24/7  ▶

---