Denetim , Kart Yok Dolandırıcılık , Siber Suçlar
Veri İhlali, Yaklaşık 20 Yıldır Saklanan ‘Süresiz’ Ödeme Kartı Verilerini Açığa Çıkardı
Mathew J. Schwartz (euroinfosec) •
29 Mayıs 2023
Çevrimiçi spor perakendecisi Sports Warehouse, güvenlik programını elden geçirmeyi ve 1 milyondan fazla ABD tüketicisini etkileyen bir veri ihlali nedeniyle New York eyaletine 300.000 $ para cezası ödemeyi kabul etti. Müfettişler, perakendecinin yaklaşık 20 yıllık ödeme kartı verilerini e-ticaret sunucusunda düz metin biçiminde, yalnızca saldırganın tahmin ettiği bir parolayla korunarak sakladığını tespit etti.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Para cezası, Sports Warehouse CEO’su Drew Munster tarafından imzalanan bir uzlaşma anlaşmasında, Sports Warehouse şirketlerinin hassas tüketici bilgilerini şifrelemediği veya zamanında silmediği için gerekçe gösteren New York başsavcısı tarafından verildi.
Merkezi San Luis Obispo, California’da bulunan Sports Warehouse, Tennis Warehouse, Wilderness Sports Warehouse, Tackle Warehouse, Skate Warehouse ve Running Warehouse’un yanı sıra turşu topu, raketbol ve diğer sporlara ayrılmış siteler de dahil olmak üzere bir dizi başka yasal olarak farklı tüzel kişiyi işletmektedir. Hepsi çalışanları, BT altyapısını ve politikalarını ve prosedürlerini paylaşır.
Başsavcılık ofisi, ihlalin Sports Warehouse tarafından 2002’den 2021’e kadar işlenen ödeme kartı verilerinin çoğunu (müşteri adları, adresler, kart numaraları, CVV’ler ve son kullanma tarihleri) açığa çıkardığını ve şirketin bu verilerin çoğunu “süresiz olarak kendi hesaplarında” sakladığını söyledi. sunucular.”
Sports Warehouse, ihlalin 1,8 milyon tüketici için süresi dolmamış ödeme kartlarının ve 1,2 milyon tüketici için – bir e-posta ve şifreden oluşan – oturum açma kimlik bilgilerinin açığa çıkmasına neden olduğunu bildirdi.
New York Başsavcısı Letitia James yaptığı açıklamada, “Tüketiciler, özel bilgilerinin güvende olduğu konusunda gönül rahatlığını hak ediyor ve bu hakkı ihlal eden şirketlerin peşinden gitmeye ve veri güvenliği uygulamalarını iyileştirmelerini sağlamaya devam edeceğiz” dedi. .
Hafta Sonu Hack Saldırısı
New’e göre, saldırı bir hafta sonu – 10 Eylül 2021 Cuma civarında – başlatılmış gibi görünüyordu ve Sports Warehouse, tehdit istihbaratı firması Gemini Advisory’den 15 Ekim 2021’de bir uyarı aldıktan sonra ortaya çıkan veri ihlalini öğrendi. York eyalet soruşturması.
Araştırmacılar, Gemini’nin en az bir yeraltı siber suç sitesinde sunulan ödeme kartı bilgilerini bulduğunu ve müşterisi olmayan Sports Warehouse’a “istenmeyen” bir uyarı gönderdiğini bildirdi. İç Güvenlik Soruşturmaları ayrıca şirkete, ödeme kartı verilerinin dolaşımına yol açan bir ihlal hakkında bilgi verdi ve bunun ardından perakendeci, New York eyaleti uzlaşma anlaşmasına göre HSI ve ABD Gizli Servisi ile bağlantı kurdu.
Ekim 2021’de Sports Warehouse’un ödeme işleyicisi Fiserv, şirkete büyük bir kredi kartı şirketinin ödeme kartı verilerinin dolandırıcılık amacıyla kullanıldığına dair çok sayıda şüpheli çalınma vakası tespit ettiğini ve bunun sonucunda Mastercard’ın şirketin onaylı bir hesap kullanarak tam bir soruşturma başlatmasını istediğini söyledi. Ödeme Kartı Endüstrisi adli müfettişi. Uzlaşma anlaşması, araştırmacının bulgularına atıfta bulunur.
Araştırmacı, bir saldırganın Sports Warehouse’un sunucu kimlik doğrulamasına kaba kuvvet saldırısı başlattığını ve yalnızca statik bir parola ile korunan çevrimiçi bir dosya sunucusuna erişim elde ettiğini tespit etti. Bunun ardından saldırgan, web kabuklarını (saldırgana ek işlevsellik sağlamak için tasarlanmış kötü amaçlı komut dosyaları) dağıttı ve bunları dosya sunucusundan, ödeme kartı verilerini işleyip depoladığı şirketin e-ticaret sunucusuna kopyalayabildi.
Sunucu, 2002’den bu yana şirketle yapılan her siparişin ayrıntılarını ve her işlem için “çoğu kredi kartı verisini” içeriyordu ve ödeme kartı verileri, anlaşmaya göre düz metin olarak saklanıyordu. Araştırmacı, saldırganın verilere eriştiğini ve bunları dosyalara sıkıştırdığını, dosyaları sızdırdığını ve ardından sildiğini tespit etti.
Güvenlik Programı Revizyonu
Uzlaşma anlaşmasının bir parçası olarak, Sports Warehouse – henüz yapmamışsa – aşağıdakiler de dahil olmak üzere bir dizi iyileştirme uygulamasını sağlamayı kabul etti:
- Topladığı tüm özel bilgileri şifrelemek;
- Kullanıcılar için güçlü parola seçme politikalarının uygulanması;
- Saklanan tüm parolaları “makul standartlar” kullanarak karma hale getirme ve tuzlama;
- Kötü amaçlı yazılımdan koruma araçlarını çalıştırma;
- Ağ etkinliğinin günlüğe kaydedilmesi ve şüpheli davranış belirtileri açısından izlenmesi;
- Düzenli sızma testi ve güvenlik açığı iyileştirme incelemeleri yapmak;
- Saklamak için zorlayıcı bir ticari veya yasal neden olmadıkça, kişisel olarak tanımlanabilir veya hassas bilgileri zamanında silmek.
Sports Warehouse, bu gereksinimlerin tüm yönetim seviyesindeki çalışanlara iletilmesini sağlamayı ve onları buna göre eğitmeyi ve siber güvenlik programını denetlemesi için bir baş bilgi güvenliği görevlisi atamayı kabul etti.
Şirket ayrıca, önümüzdeki üç yıl boyunca, bu güvenlik geliştirmeleriyle uyumluluğuna ilişkin yıllık üçüncü taraf değerlendirmelerini ve yürüttüğü tüm PCI değerlendirmelerini sunacağına söz verdi.