.
As informações do cliente foram roubadas dos sistemas de TI da Western Digital naquela violação de segurança de TI em março, forçando o fabricante de armazenamento a fechar sua loja online até pelo menos a próxima semana.
Western Digital (WD) primeiro divulgado a invasão no início de abril, dizendo que no final de março seus engenheiros descobriram que alguém havia invadido “vários” sistemas da empresa. Em uma breve declaração na época, os funcionários da empresa disseram que haviam desconectado os sistemas e serviços do fornecedor da Internet pública e estavam trabalhando para restaurar as operações normais.
A WD também disse que está trabalhando com especialistas forenses externos para reparar os danos, mas ofereceu poucas outras informações.
em um atualizar No final da semana passada, a WD disse que os intrusos roubaram uma cópia do banco de dados da loja online da Western Digital. Esse tesouro incluía uma série de informações pessoais dos clientes da loja, incluindo nomes, endereços de cobrança e entrega, endereços de e-mail e números de telefone.
Outros dados expostos incluem – em formato “criptografado” – senhas com hash e salgadas e números parciais de cartão de crédito.
Em um breve carta aos clientes também enviados no final da semana passada, a WD reiterou os dados que foram roubados e disse que tinha acesso temporariamente suspenso para contas de lojas online, o que significa que ninguém agora pode fazer compras online.
A loja online da empresa apresenta um pequeno banner que diz: “Voltaremos em breve. Não podemos processar pedidos no momento”. E onde normalmente apareceria um botão marcado como “Compre agora”, um botão marcado como “Encontre um revendedor” é o substituto.
O plano do disk-slinger é restaurar o acesso às contas na semana de 15 de maio. O serviço My Cloud – que foi encerrado como parte das medidas proativas da empresa após a violação de segurança e inclui produtos como My Cloud Home, My Cloud Home Duo , My Cloud OS5 e SanDisk ibi – foi restaurado em 13 de abril.
A WD também delineou as etapas que os clientes podem seguir para se proteger contra fraudes e outros abusos de suas informações, e alertou que agora é a hora de aumentar a conscientização sobre as iscas de phishing.
O que não foi incluído na carta foram as ofertas da Western Digital para fornecer tais serviços de monitoramento de crédito, uma etapa que as empresas cujos dados dos clientes foram expostos normalmente oferecem.
Strong The One entrou em contato com a WD para obter mais informações e atualizará a história se a empresa responder.
Quem está por trás disso?
Há também a questão das informações roubadas serem divulgadas publicamente pelos malfeitores que as adquiriram. Os bandidos que alegam ter orquestrado o roubo se vangloriaram em um ponto de terem roubado 10 TB de dados da Western Digital, incluindo o certificado de assinatura de código da WD. A tripulação disse que estava exigindo um pagamento de resgate de oito dígitos.
No final de abril, o grupo de ransomware BlackCat – também conhecido como ALPHV – postou em seu próprio site, supostas capturas de tela de dados roubados da WD e supostamente interrompido uma chamada de videoconferência entre a equipe de resposta a incidentes de segurança da Western Digital e provocou o grupo, chegando a compartilhar uma captura de tela da reunião, de acordo com o pesquisador cibernético Dominic Alvieri.
Alguns usuários do WD expressaram suas frustrações com a violação e o que eles disseram foi a comunicação tardia do fornecedor.
“Eles demoraram o suficiente para dizer alguma coisa”, escreveu um internauta no Redditobservando que em outro canal subreddit, “as pessoas têm falado sobre seu site fazer coisas estranhas pelo que parecem meses. Removendo a capacidade de comprar unidades e coisas assim.”
Outro usuário disse que “precisamos de leis que prejudiquem fortemente as empresas que sofrem ‘violações de dados de clientes’ e as prejudiquem ainda mais se tentarem encobri-las. Precisamos incentivar essas empresas a parar de manter dados de clientes”.
Outros adotaram uma visão mais comedida.
“Para ser justo, todas as coisas listadas parecem essenciais se você estiver vendendo bens físicos para as pessoas”, escreveu uma pessoa. “Eles simplesmente não deveriam ter um registro de para onde as coisas foram enviadas ou algo assim? Sou a favor da privacidade de dados, mas realmente não acho que este seja um caso que mereça penalidades pesadas.
“O fato é que às vezes a merda acontece – você pode fazer tudo certo e ainda assim as coisas dão errado. Não acho justo penalizar as empresas por esse tipo de coisa, a menos que esteja claro que elas foram capazes de evitar ou reduzir o impacto mas optou por não fazê-lo.” ®
.
