.
A varejista online Zoetop desembolsará US$ 1,9 milhão depois que dados de contas pertencentes a 46 milhões de clientes foram roubados em 2018.
Ao anunciar o acordo nesta semana, a procuradora-geral de Nova York, Letitia James, disse que a Zoetop de Hong Kong, que possui as marcas de moda rápida Shein e Romwe, também tentou minimizar a escala do ataque cibernético e foi muito ruim em proteger as informações pessoais das pessoas.
“As fracas medidas de segurança digital de Shein e Romwe tornaram mais fácil para os hackers roubarem os dados pessoais dos consumidores”, disse James em um comunicado. declaração. “Falhar em proteger os dados pessoais dos consumidores e mentir sobre isso não está na moda.”
Este pagamento não deixará uma marca no lançador de pechinchas de propriedade privada, cuja marca Shein sozinha é avaliada em US$ 100 bilhões. É apenas o custo de fazer negócioscomo alguns dizem.
De acordo com uma investigação do estado de Nova York [PDF], o Zoetop armazenava os números de cartão de crédito das pessoas em texto simples em um log de depuração sempre que uma transação encontrava um erro. Então, quando os invasores invadiram os computadores do varejista em junho de 2018, eles conseguiram encontrar os detalhes completos do cartão em quase 30.000 pedidos nesse arquivo. A Zoetop não soube dizer se aquele registro havia sido exfiltrado.
Além disso, os bandidos roubaram registros de contas de clientes, incluindo nomes, cidades, endereços de e-mail e senhas com hash; as informações de login foram posteriormente vendidas em um fórum de crimes cibernéticos do submundo.
E sobre essas senhas com hash: “O método que a Zoetop usou para fazer hash das senhas as deixou suscetíveis a ataques de quebra de senha, através dos quais os invasores poderiam identificar a senha original sem hash”, descobriu a investigação de Nova York.
Isso significa que não apenas as senhas em texto simples poderiam ser obtidas, elas seriam emparelhadas com um endereço de e-mail e vendidas a outros criminosos, que poderiam usar as informações para fazer login nas contas das pessoas em outros sites, se esses usuários reutilizassem suas senhas. É por isso que é importante definir uma senha exclusiva por site ou aplicativo.
A Zoetop não percebeu que seus sistemas haviam sido comprometidos até cerca de um mês depois, nos disseram. Por volta de 18 de julho de 2018, o processador de pagamentos da gigante da web disse ao Zoetop que havia sido contatado por uma grande rede de cartões de crédito e outro banco emissor “indicando que [Zoetop’s] sistema[s] foram infiltrados e os dados do cartão roubados.”
Depois disso, a Zoetop contratou uma empresa de segurança cibernética, que confirmou a exfiltração: cerca de 39 milhões de clientes da Shein tiveram suas informações de conta roubadas. Levaria dois anos para descobrir que sete milhões de compradores de Romwe também tiveram suas informações roubadas.
Na conclusão da investigação de 2018, o megavarejista minimizou a violação de segurança e não forçou uma redefinição de senha nem contatou todos os compradores Shein afetados, de acordo com James. Em vez disso, a Zoetop enviou mensagens apenas para uma fração dos usuários comprometidos e afirmou em um comunicado à imprensa que 6,42 milhões de clientes que fizeram pedidos on-line foram afetados.
De acordo com a investigação de Nova York, Zoetop estava totalmente ciente da escala do roubo de credenciais de Shein, pelo menos.
Então, em 2020, depois de descobrir mais dados de clientes à venda na dark web, a Zoetop percebeu que os nomes de usuário e senhas de sete milhões de contas Romwe também haviam sido exfiltrados no roubo de 2018.
Além disso, de acordo com a NY AG:
Além de pagar US$ 1,9 milhão para resolver o caso, a Zoetop também concordou em melhorar seu programa de segurança para incluir hash de senha “robusto”, monitoramento de rede, verificação de vulnerabilidades e políticas de resposta a incidentes.
Além disso, o varejista prometeu realizar investigações oportunas e notificações ao consumidor – juntamente com redefinições de senha – se (ou quando) sofrer outra violação de rede. ®
.
