中国公司 Zoetop 曾是广受欢迎的 SHEIN 和 ROMWE “快时尚”品牌的所有者,已被纽约州罚款 1,900,000 美元。
作为司法部长 Letitia James 把它 在上周的一份声明中:
SHEIN 和 ROMWE 薄弱的数字安全措施使黑客很容易盗窃消费者的个人数据。
好像这还不够糟糕,詹姆斯接着说:
[P]个人数据被盗,Zoetop 试图掩盖它。 未能保护消费者的个人数据并对其撒谎并不时髦。 SHEIN 和 ROMWE 必须加强其网络安全措施,以保护消费者免受欺诈和身份盗用。
坦率地说,考虑到公司的规模、财富和品牌影响力,Zoetop(现为美国的 SHEIN 分销公司)表现得如此轻松,我们对此感到惊讶,它甚至明显缺乏可以预防或减少所构成危险的基本预防措施违规行为,以及其在违规行为为人所知后在处理违规行为方面的持续不诚实行为。
外人发现的违规行为
根据 纽约总检察长办公室,Zoetop 甚至没有注意到发生在 2018 年 XNUMX 月的违规行为。
取而代之的是,Zoetop 的支付处理器发现该公司已被入侵,这是根据来自两个来源的欺诈报告:一家信用卡公司和一家银行。
这家信用卡公司在一个地下论坛上发现了 SHEIN 客户的卡数据出售,这表明这些数据是从公司自己或其 IT 合作伙伴之一批量获取的。
银行将 SHEIN(发音为“she in”,如果你还没有解决这个问题,而不是“shine”)认定为所谓的 CPP 在众多被骗客户的付款记录中。
CPP 的缩写 共同购买点,并且正如它所说的那样:如果 100 位客户独立报告他们的卡存在欺诈行为,并且如果最近向所有 100 位客户付款的唯一共同商户是 X 公司……
......那么你有间接证据表明 X 可能是“欺诈爆发”的原因,就像开创性的英国流行病学家约翰·斯诺将 1854 年伦敦的霍乱疫情追溯到 被污染的水泵 在布罗德街,Soho。
斯诺的工作有助于摒弃疾病只是“通过污浊的空气传播”的观点。 将“细菌理论”确立为医学现实,彻底改变了公共卫生思想。 他还展示了客观测量和测试如何帮助连接因果关系,从而确保未来的研究人员不会浪费时间提出不可能的解释和寻求无用的“解决方案”。
没有采取预防措施
不出所料,鉴于该公司发现了二手违规行为,纽约的调查谴责该公司不打扰网络安全监控,因为它 “没有定期进行外部漏洞扫描,也没有定期监控或审查审计日志以识别安全事件。”
调查还报告称,Zoetop:
- 以一种被认为太容易破解的方式散列用户密码。 显然,密码散列包括将用户密码与两位数随机盐组合,然后是 MD5 的一次迭代。 来自密码破解爱好者的报告表明,使用 8 年硬件的独立 2016-GPU 破解设备在当时每秒可以处理 200,000,000,000 个 MD5(盐通常不会增加任何额外的计算时间)。 这相当于每天仅使用一台专用计算机尝试近 20 万亿个密码。 (使用最近的显卡,今天的 MD5 破解速度显然比这快五到十倍。)
- 不顾一切地记录数据。 对于发生某种错误的交易,Zoetop 将整个交易保存到调试日志中,显然包括完整的信用卡详细信息(我们假设这包括安全代码以及长编号和到期日期)。 但即使在知道了违规行为之后,该公司也没有试图找出它可能在其系统中存储这种流氓支付卡数据的位置。
- 无法为事件响应计划而烦恼。 该公司不仅在违规发生之前没有制定网络安全响应计划,而且事后显然也懒得想出一个,调查表明它 “未能及时采取行动保护许多受影响的客户。”
- 在其支付处理系统中遭受间谍软件感染。 正如调查所解释的, “任何支付卡数据的泄露都会[因此]通过在购买点拦截卡数据而发生。” 可以想象,由于缺乏事件响应计划,该公司随后无法判断这种数据窃取恶意软件的工作情况如何,尽管客户的卡详细信息出现在暗网上这一事实表明攻击者是成功的。
没说实话
该公司还因其在了解攻击程度后与客户打交道的不诚实行为而受到严厉批评。
例如,公司:
- 表示有 6,420,000 名用户(实际下单的用户)受到影响, 尽管它知道 39,000,000 条用户帐户记录,包括那些经过不恰当哈希处理的密码,都被盗了。
- 表示已经联系了那6.42万用户, 事实上,只有加拿大、美国和欧洲的用户被告知。
- 告诉客户它“没有证据表明您的信用卡信息是从我们的系统中获取的”, 尽管有两个消息来源对违规行为提出了警告,他们提供的证据强烈表明这一点。
该公司似乎也忽略了提及它知道它已遭受数据窃取恶意软件感染并且无法提供证据证明该攻击没有产生任何结果。
它也没有透露它有时会故意在调试日志中保存完整的卡详细信息(至少 27,295倍,事实上),但实际上并没有尝试在其系统中追踪那些流氓日志文件,以查看它们最终的位置或谁可能有权访问它们。
雪上加霜的是,调查进一步发现该公司不符合 PCI DSS(其流氓调试日志确保了这一点),被勒令接受 PCI 取证调查,但随后拒绝让调查人员获得他们需要的访问权限做他们的工作。
正如法庭文件讽刺地指出, “[n] 尽管如此,在其进行的有限审查中,[PCI 合格的法医调查员] 发现 Zoetop 的系统在几个领域不符合 PCI DSS。”
也许最糟糕的是,当该公司在 2020 年 2018 月发现其 ROMWE 网站的密码在暗网上出售时,最终意识到这些数据很可能在 XNUMX 年它已经试图掩盖的违规事件中被盗……
…它的反应,几个月来,是向受影响的用户展示一个指责受害者的登录提示,说, “您的密码安全级别较低,可能存在风险。 请更改您的登录密码”。
该消息随后被更改为转移注意力的声明说, “您的密码已超过 365 天未更新。 为了您的安全,请立即更新。”
仅在 2020 年 7,000,000 月,在暗网上发现了第二批待售密码,显然将 ROMWE 部分的违规行为带到了超过 XNUMX 个帐户,该公司才向其客户承认他们被混淆了它温和地称为 “数据安全事件。”
怎么办呢?
不幸的是,这种情况下的惩罚似乎并没有给“谁在乎网络安全——你什么时候可以支付罚款?”带来太大压力? 无论是在网络安全事件之前、期间还是之后,公司都必须做正确的事情。
对这种行为的处罚应该更高吗?
只要有些企业似乎只是将罚款视为可以提前纳入预算的业务成本,那么经济处罚甚至是正确的方式吗?
或者,遭受此类违规行为的公司是否应该试图阻止第三方调查人员,然后向客户隐瞒所发生事情的全部真相……
……只是为了爱情或金钱而被禁止交易?
在下面的评论中发表你的意见! (您可以保持匿名。)
没有足够的时间或人员?
进一步了解 Sophos 托管检测和响应:
24/7 威胁追踪、检测和响应 ▶
![S3 Ep124:当所谓的安全应用程序变得流氓时 [音频 + 文本]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
