Il marchio di moda SHEIN ha multato $ 1,9 milioni per aver mentito sulla violazione dei dati – Naked Security

La società cinese Zoetop, ex proprietaria dei famosissimi marchi di “fast fashion” SHEIN e ROMWE, è stata multata di $ 1.900.000 dallo Stato di New York.

Come ha affermato il procuratore generale Letitia James in una dichiarazione la scorsa settimana:

Le deboli misure di sicurezza digitale di SHEIN e ROMWE hanno consentito agli hacker di rubare facilmente i dati personali dei consumatori.

Come se non bastasse, James ha continuato dicendo:

[P]i dati personali sono stati rubati e Zoetop ha cercato di nasconderli. Non proteggere i dati personali dei consumatori e mentire su di essi non è di moda. SHEIN e ROMWE devono abbottonare le loro misure di sicurezza informatica per proteggere i consumatori da frodi e furti di identità.

Francamente, siamo sorpresi che Zoetop (ora SHEIN Distribution Corporation negli Stati Uniti) sia andata così alla leggera, considerando le dimensioni, la ricchezza e il potere del marchio dell’azienda, la sua apparente mancanza anche di precauzioni di base che avrebbero potuto prevenire o ridurre il pericolo rappresentato dalla violazione e dalla sua continua disonestà nel gestire la violazione dopo che è diventata nota.

Violazione scoperta da estranei

Secondo l’Ufficio del procuratore generale di New York, Zoetop non si è nemmeno accorta della violazione, avvenuta nel giugno 2018, da sola.

Invece, il processore di pagamento di Zoetop ha scoperto che la società era stata violata, a seguito di segnalazioni di frode provenienti da due fonti: una società di carte di credito e una banca.

La società di carte di credito ha trovato i dati delle carte dei clienti SHEIN in vendita su un forum sotterraneo, suggerendo che i dati erano stati acquisiti in blocco dalla società stessa o da uno dei suoi partner IT.

E la banca ha identificato SHEIN (pronunciato “she in”, se non l’avevi già risolto, non “shine”) come quello che è noto come un CPP nelle storie di pagamento di numerosi clienti che erano stati truffati.

CPP è l’abbreviazione di punto di acquisto comunee significa esattamente quello che dice: se 100 clienti segnalano in modo indipendente una frode contro le loro carte e se l’unico commerciante comune a cui tutti i 100 clienti hanno recentemente effettuato pagamenti è l’azienda X…

… allora hai prove circostanziali che X è una probabile causa dell'”epidemia di frode”, nello stesso modo in cui l’innovativo epidemiologo britannico John Snow ha rintracciato un’epidemia di colera del 1854 a Londra fino a una pompa dell’acqua inquinata in Broad Street, Soho.

Il lavoro di Snow ha contribuito a respingere l’idea che le malattie semplicemente “si diffondono attraverso l’aria viziata”; ha stabilito la “teoria dei germi” come realtà medica e ha rivoluzionato il pensiero sulla salute pubblica. Ha anche mostrato come misurazioni e test oggettivi potrebbero aiutare a collegare cause ed effetti, assicurando così che i futuri ricercatori non perdessero tempo a trovare spiegazioni impossibili e cercare “soluzioni” inutili.

Non ho preso precauzioni

Non sorprende che, dato che la società ha scoperto la violazione di seconda mano, l’indagine di New York ha castigato l’azienda per non essersi preoccupata del monitoraggio della sicurezza informatica, dato che “non ha eseguito scansioni di vulnerabilità esterne regolari né monitorato o rivisto regolarmente i log di controllo per identificare gli incidenti di sicurezza”.

L’indagine ha anche riportato che Zoetop:

  • Ha sottoposto a hash le password degli utenti in un modo considerato troppo facile da decifrare. Apparentemente, l’hashing della password consisteva nel combinare la password dell’utente con un salt casuale a due cifre, seguito da un’iterazione di MD5. I rapporti degli appassionati di cracking delle password suggeriscono che un impianto di cracking autonomo a 8 GPU con hardware del 2016 potrebbe produrre fino a 200.000.000.000 di MD5 al secondo (il sale in genere non aggiunge alcun tempo di calcolo aggiuntivo). Ciò equivale a provare quasi 20 quadrilioni di password al giorno utilizzando un solo computer per scopi speciali. (Le odierne velocità di cracking dell’MD5 sono apparentemente da cinque a dieci volte più veloci di quelle, utilizzando schede grafiche recenti.)
  • Dati registrati incautamente. Per le transazioni in cui si è verificato un qualche tipo di errore, Zoetop ha salvato l’intera transazione in un registro di debug, apparentemente includendo i dettagli completi della carta di credito (supponiamo che ciò includa il codice di sicurezza, il numero lungo e la data di scadenza). Ma anche dopo aver saputo della violazione, la società non ha cercato di scoprire dove avrebbe potuto archiviare questo tipo di dati di carte di pagamento non autorizzati nei suoi sistemi.
  • Impossibile preoccuparsi di un piano di risposta agli incidenti. Non solo la società non è riuscita a disporre di un piano di risposta alla sicurezza informatica prima che si verificasse la violazione, ma a quanto pare non si è preoccupata di escogitarne uno in seguito, con l’indagine che affermava che “non è riuscita a prendere provvedimenti tempestivi per proteggere molti dei clienti interessati”.
  • Ha subito un’infezione da spyware all’interno del suo sistema di elaborazione dei pagamenti. Come spiegato dall’indagine, “qualsiasi esfiltrazione dei dati delle carte di pagamento lo farebbe [thus] sono avvenuti intercettando i dati della carta al momento dell’acquisto. Come puoi immaginare, data la mancanza di un piano di risposta agli incidenti, l’azienda non è stata successivamente in grado di dire quanto bene avesse funzionato questo malware per il furto di dati, sebbene il fatto che i dettagli delle carte dei clienti siano apparsi sul dark web suggerisce che gli aggressori fossero riuscito.

Non ha detto la verità

L’azienda è stata anche aspramente criticata per la sua disonestà nel modo in cui ha trattato i clienti dopo aver saputo l’entità dell’attacco.

Ad esempio, l’azienda:

  • Ha dichiarato che sono stati interessati 6.420.000 utenti (quelli che avevano effettivamente effettuato ordini), sebbene sapesse che 39.000.000 di record di account utente, comprese quelle password con hash inopportuno, erano state rubate.
  • Ha detto di aver contattato quei 6,42 milioni di utenti, quando in realtà sono stati informati solo gli utenti in Canada, negli Stati Uniti e in Europa.
  • Ha detto ai clienti che “non aveva prove che i dati della tua carta di credito fossero stati presi dai nostri sistemi”, pur essendo stato avvisato della violazione da due fonti che hanno presentato prove che suggeriscono fortemente esattamente questo.

La società, a quanto pare, ha anche trascurato di menzionare che sapeva di aver subito un’infezione da malware per il furto di dati e non era stata in grado di produrre prove che l’attacco non avesse prodotto nulla.

Inoltre non è riuscito a rivelare che a volte ha salvato consapevolmente tutti i dettagli della carta nei registri di debug (almeno 27.295 volte, in effetti), ma in realtà non ha cercato di rintracciare quei file di registro canaglia nei suoi sistemi per vedere dove sono finiti o chi potrebbe avervi accesso.

Per aggiungere danno alla beffa, l’indagine ha inoltre rilevato che la società non era conforme al PCI DSS (i suoi registri di debug non autorizzati lo assicuravano), gli è stato ordinato di sottoporsi a un’indagine forense PCI, ma poi ha rifiutato di consentire agli investigatori l’accesso di cui avevano bisogno per fare il loro lavoro.

Come notano ironicamente gli atti del tribunale, “[n]tuttavia, nella revisione limitata da essa condotta, il [PCI-qualified forensic investigator] ha trovato diverse aree in cui i sistemi di Zoetop non erano compatibili con PCI DSS”.

Forse la cosa peggiore di tutte, quando la società ha scoperto le password dal suo sito Web ROMWE in vendita sul dark web nel giugno 2020 e alla fine si è resa conto che questi dati erano stati probabilmente rubati nella violazione del 2018 che aveva già cercato di nascondere…

… la sua risposta, per diversi mesi, è stata quella di presentare agli utenti interessati una richiesta di accesso che incolpava la vittima dicendo: “La tua password ha un livello di sicurezza basso e potrebbe essere a rischio. Per favore cambia la tua password di accesso”.

Quel messaggio è stato successivamente modificato in una dichiarazione diversiva che diceva: “La tua password non è stata aggiornata da più di 365 giorni. Per la tua protezione, aggiornalo ora.

Solo nel dicembre 2020, dopo che una seconda tranche di password in vendita è stata trovata sul dark web, portando apparentemente la parte ROMWE della violazione a più di 7.000.000 di account, l’azienda ha ammesso ai suoi clienti di essere stata confusa in quello che blandamente chiamava a “incidente di sicurezza dei dati”.

Cosa fare?

Sfortunatamente, la punizione in questo caso non sembra esercitare molta pressione su “chi-se ne frega-della-sicurezza-informatica-quando-puoi-pagare-la-multa?” le aziende a fare la cosa giusta, prima, durante o dopo un incidente di sicurezza informatica.

Le sanzioni per questo tipo di comportamento dovrebbero essere più elevate?

Finché ci sono aziende là fuori che sembrano trattare le multe semplicemente come un costo del business che può essere inserito nel budget in anticipo, le sanzioni pecuniarie sono anche la strada giusta da percorrere?

Oppure le aziende che subiscono violazioni di questo tipo dovrebbero cercare di ostacolare gli investigatori di terze parti e quindi nascondere la piena verità di ciò che è accaduto ai loro clienti…

…semplicemente impedito di fare trading, per amore o denaro?

Dì la tua nei commenti qui sotto! (Puoi rimanere anonimo.)


Non abbastanza tempo o personale?
Impara di più riguardo Rilevamento e risposta gestiti da Sophos:
Ricerca, rilevamento e risposta alle minacce 24 ore su 24, 7 giorni su 7


.

Leave a Comment

Your email address will not be published. Required fields are marked *