La società cinese Zoetop, ex proprietaria dei popolarissimi marchi di “fast fashion” SHEIN e ROMWE, è stata multata dallo Stato di New York per 1.900.000 dollari. Come ha detto il procuratore generale Letitia James in una dichiarazione della scorsa settimana: Le deboli misure di sicurezza digitale di SHEIN e ROMWE hanno permesso agli hacker di rubare facilmente i dati personali dei consumatori. Come se ciò non fosse già abbastanza grave, la James ha proseguito affermando che: [I dati personali sono stati rubati e Zoetop ha cercato di insabbiare il tutto. Non proteggere i dati personali dei consumatori e mentire su questo non è di moda. SHEIN e ROMWE devono rafforzare le loro misure di sicurezza informatica per proteggere i consumatori da frodi e furti di identità. Francamente, siamo sorpresi che Zoetop (ora SHEIN Distribution Corporation negli Stati Uniti) se la sia cavata così bene, considerando le dimensioni, la ricchezza e la potenza del marchio dell’azienda, la sua apparente mancanza di precauzioni anche basilari che avrebbero potuto prevenire o ridurre il pericolo rappresentato dalla violazione e la sua continua disonestà nel gestire la violazione dopo che è stata resa nota.
La violazione scoperta da estranei
Secondo l’Ufficio del Procuratore generale di New York, Zoetop non si è nemmeno accorta da sola della violazione, avvenuta nel giugno 2018. Invece, il processore di pagamenti di Zoetop ha scoperto che l’azienda era stata violata, a seguito di segnalazioni di frode provenienti da due fonti: una società di carte di credito e una banca. La società di carte di credito si è imbattuta nei dati delle carte dei clienti di SHEIN in vendita su un forum clandestino, suggerendo che i dati erano stati acquisiti in blocco dall’azienda stessa o da uno dei suoi partner informatici. La banca ha identificato SHEIN (che si pronuncia “she in”, se non l’aveste ancora capito, e non “shine”) come il cosiddetto CPP nelle cronologie di pagamento di numerosi clienti frodati. CPP è l’abbreviazione di common point of purchase (punto di acquisto comune) e significa esattamente quello che dice: se 100 clienti segnalano indipendentemente una frode sulle loro carte, e se l’unico commerciante comune presso il quale tutti e 100 i clienti hanno recentemente effettuato pagamenti è la società X allora si ha una prova circostanziale che X è una probabile causa dell'”epidemia di frode”, nello stesso modo in cui l’epidemiologo britannico John Snow, che ha fatto scuola, ha ricondotto un’epidemia di colera a Londra nel 1854 a una pompa d’acqua inquinata in Broad Street, a Soho. Il lavoro di Snow ha contribuito a respingere l’idea che le malattie si diffondessero semplicemente attraverso l’aria viziata; ha stabilito la “teoria dei germi” come realtà medica e ha rivoluzionato il pensiero sulla salute pubblica. Ha anche mostrato come la misurazione e i test oggettivi potessero aiutare a collegare cause ed effetti, assicurando così che i futuri ricercatori non perdessero tempo a trovare spiegazioni impossibili e a cercare “soluzioni” inutili.
Non ha preso precauzioni
Non sorprende che l’azienda abbia scoperto la violazione di seconda mano, ma l’indagine di New York l’ha criticata per non essersi preoccupata di monitorare la sicurezza informatica, dato che “non ha eseguito scansioni regolari delle vulnerabilità esterne né ha monitorato o esaminato regolarmente i registri di audit per identificare gli incidenti di sicurezza”.
L’indagine ha anche riportato che Zoetop:
ha eseguito l’hashing delle password degli utenti in un modo considerato troppo facile da decifrare. A quanto pare, l’hashing delle password consisteva nel combinare la password dell’utente con un sale casuale a due cifre, seguito da un’iterazione di MD5. Secondo quanto riportato dagli appassionati di cracking di password, all’epoca un impianto di cracking standalone con 8 GPU e hardware del 2016 era in grado di eseguire 200.000.000.000 di MD5 al secondo (il sale di solito non aggiunge altro tempo di calcolo). Ciò equivale a provare quasi 20 quadrilioni di password al giorno utilizzando un solo computer speciale. (I tassi di cracking MD5 di oggi sono apparentemente da cinque a dieci volte più veloci di questo, utilizzando schede grafiche recenti). Registrava i dati in modo sconsiderato. Per le transazioni in cui si verificava un qualche tipo di errore, Zoetop salvava l’intera transazione in un registro di debug, includendo apparentemente tutti i dettagli della carta di credito (presumiamo che questo includa il codice di sicurezza, oltre al numero lungo e alla data di scadenza). Ma anche dopo aver saputo della violazione, l’azienda non ha cercato di scoprire dove potesse aver memorizzato questo tipo di dati di carte di pagamento illecite nei suoi sistemi.
Non si è preoccupata di elaborare un piano di risposta agli incidenti. L’azienda non solo non aveva un piano di risposta alla cybersicurezza prima della violazione, ma a quanto pare non si è preoccupata di elaborarne uno dopo, e l’indagine afferma che “non ha intrapreso azioni tempestive per proteggere molti dei clienti colpiti”. Ha subito un’infezione da spyware nel suo sistema di elaborazione dei pagamenti. Come spiega l’indagine, “qualsiasi esfiltrazione dei dati delle carte di pagamento sarebbe avvenuta intercettando i dati della carta presso il punto di acquisto”. Come si può immaginare, data la mancanza di un piano di risposta agli incidenti, l’azienda non è stata successivamente in grado di dire quanto il malware che ruba i dati abbia funzionato, anche se il fatto che i dati delle carte dei clienti siano apparsi sul dark web suggerisce che gli aggressori abbiano avuto successo. Non ha detto la verità
L’azienda è stata criticata anche per la disonestà con cui ha trattato i clienti dopo aver saputo la portata dell’attacco.
Ad esempio, l’azienda:
- ha dichiarato che erano stati colpiti 6.420.000 utenti (quelli che avevano effettivamente effettuato ordini), pur sapendo che erano stati rubati 39.000.000 di record di account utente, comprese le password incautamente nascoste.
- Ha dichiarato di aver contattato questi 6,42 milioni di utenti, mentre in realtà sono stati informati solo gli utenti di Canada, Stati Uniti ed Europa.
- Ha detto ai clienti di non avere “alcuna prova che i dati della vostra carta di credito siano stati sottratti dai nostri sistemi”, nonostante due fonti avessero avvertito della violazione e avessero presentato prove che suggerivano esattamente questo.
- L’azienda, a quanto pare, ha anche trascurato di dire che sapeva di aver subito un’infezione da malware che rubava i dati e che non era stata in grado di produrre prove che l’attacco non avesse portato a nulla. Inoltre, non ha rivelato che a volte salvava consapevolmente i dati completi delle carte di credito nei log di debug (almeno 27.295 volte, in effetti), ma non ha cercato di rintracciare quei file di log illegali nei suoi sistemi per vedere dove fossero finiti o chi potesse avervi accesso.
Come se non bastasse, l’indagine ha scoperto che l’azienda non era conforme agli standard PCI DSS (i suoi log di debug anomali ne erano la prova), le è stato ordinato di sottoporsi a un’indagine forense PCI, ma si è poi rifiutata di consentire agli investigatori l’accesso necessario per svolgere il loro lavoro. Come si legge nei documenti del tribunale, “ciononostante, nell’esame limitato che ha condotto, l’investigatore forense [qualificato PCI] ha trovato diverse aree in cui i sistemi di Zoetop non erano conformi agli standard PCI DSS”.
Forse la cosa peggiore è che, quando nel giugno 2020 l’azienda ha scoperto le password del suo sito web ROMWE in vendita sul dark web, e alla fine si è resa conto che questi dati erano stati probabilmente rubati durante la violazione del 2018 che aveva già cercato di nascondere, la risposta di Zoetop, per diversi mesi, è stata quella di presentare agli utenti colpiti un prompt di login che accusava le vittime dicendo: “La sua password ha un basso livello di sicurezza e potrebbe essere a rischio. Si prega di cambiare la password di accesso”.
Questo messaggio è stato successivamente modificato in una dichiarazione diversiva che diceva: “La tua password non è stata aggiornata da più di 365 giorni. Per la sua protezione, la preghiamo di aggiornarla ora”. Solo nel dicembre 2020, dopo che una seconda tranche di password in vendita è stata trovata sul dark web, portando apparentemente la parte ROMWE della violazione a più di 7.000.000 di account, l’azienda ha ammesso ai suoi clienti di essere stata coinvolta in quello che ha blandamente definito un “incidente di sicurezza dei dati”.
Cosa fare?
Sfortunatamente, la punizione in questo caso non sembra esercitare molta pressione sulle aziende “che si preoccupano della sicurezza informatica quando si può semplicemente pagare la multa?” affinché facciano la cosa giusta, sia prima che durante o dopo un incidente di sicurezza informatica.
Le sanzioni per questo tipo di comportamento dovrebbero essere più elevate?
Finché ci saranno aziende che sembreranno trattare le multe semplicemente come un costo aziendale da inserire in anticipo nel bilancio, le sanzioni finanziarie sono la strada giusta da percorrere?
Oppure alle aziende che subiscono violazioni di questo tipo, che cercano di ostacolare gli investigatori di terze parti e che poi nascondono ai loro clienti la verità completa su quanto è accaduto, dovrebbe essere semplicemente impedito di operare, per amore o per denaro?