La fabricante de ropa para niños con sede en Portland, Oregon, Hanna Andersson, ha revelado en silencio una violación de datos a sus clientes afectados. Hasta ahora muy pocos detalles de la violación se han hecho públicos.
La carta, obtenida por SecurityWeek , se envió por correo postal y explica que un tercero había obtenido acceso no autorizado a la información del cliente ingresada durante las compras en línea entre el 16 de septiembre y el 11 de noviembre de 2019. Esto solo se descubrió después de que la empresa fue notificada por parte de las autoridades de que tal violación probablemente había sucedido; aunque la firma no da ninguna indicación de la fecha en que fueron informados.
Esta no es la mejor manera de enterarse de una violación que involucra datos financieros: generalmente significa que la policía ha detectado intentos de fraude financiero de una cantidad suficiente para rastrearlos a una fuente en particular. En otras palabras, la violación fue exitosa, los datos de la tarjeta han sido robados y los delincuentes ya los están utilizando.
De acuerdo con la carta de notificación de las autoridades, el "incidente potencialmente involucró información ingresada por el cliente durante el proceso de compra final en nuestro sitio web, www.hannaandersson.com, que incluye nombre, dirección de envío, dirección de facturación, número de tarjeta de pago, código CVV y fecha de vencimiento". Estos detalles a menudo se conocen en la dark web oscura como 'fullz '; es decir, los datos contienen toda la información necesaria para que un delincuente realice compras fraudulentas a través de Internet.
No hay indicios de que estos detalles estuvieran encriptados; de hecho, la implicación es que no lo estaban. Según las regulaciones de PCI DSS (el estándar de seguridad requerido por la industria de las tarjetas de pago para cualquier organización que acepte pagos con tarjeta), el número de la tarjeta debería haber sido encriptado y el número CVV descartado. El hecho de que los atacantes obtuvieron el número de CVV sugiere que los detalles se conservaron a medida que se ingresaban, es decir, entre el usuario que ingresó los detalles y el minorista que cifró el número de tarjeta y descartó el CVV.
Esta es la metodología de ataque utilizada en varios ataques recientes de 'Magecart' ; es decir, el robo de tarjetas de crédito. La violación de Hannah Andersson no se ha confirmado como un ataque de Magecart, pero tales ataques generalmente implican la inserción de un código malicioso de skimmer en el código de pago de la compañía víctima. Se sabe que un número creciente de grupos criminales bien establecidos ahora están involucrados.
Hanna Andersson no ha proporcionado más detalles del ataque. Al momento de escribir esto, no se sabe cómo llegó el código malicioso al sitio, quién puede estar involucrado ni cuántos clientes pueden verse afectados. Sin embargo, la carta menciona: "hemos contratado expertos forenses para investigar el incidente y estamos cooperando con la policía y las marcas de tarjetas de pago en su investigación para dar respuesta al incidente". Tendremos más información a medida que avancen las investigaciones.
Cualquier respuesta del Consejo de Normas de Seguridad PCI será interesante. Aunque no es un reclamo oficial, a menudo se sugiere que ninguna empresa que cumpla plenamente con PCI DSS haya sido violada. "Podemos afirmar definitivamente", dice el Informe de seguridad de pagos de Verizon 2019, "nunca hemos revisado un entorno o investigado una violación de datos de PCI que involucre a una entidad afectada que realmente cumple con PCI DSS". Casualmente, este informe fue publicado al final del ataque a Hanna Andersson.
Curiosamente, el minorista publicó una oferta de trabajo para un "Director de Seguridad Cibernética" alrededor del "final" del incidente, lo que indica que la empresa puede no haber tenido un equipo de seguridad interno sólido. En la descripción del trabajo, a esta persona se le encargaría servir como "punto de contacto principal con respecto a cualquier actividad de ciberataques y tratar con tales incidentes de manera rápida y eficiente, minimizando cualquier incidencia".
A pesar de la falta de detalles proporcionados por la empresa, ofrece a los clientes afectados un paquete integral de atención después de la fuga de datos. Esto incluye los servicios de protección contra el robo de identidad MyIDCare de ID Experts, que incluyen 12 meses de crédito y monitoreo de CyberScan, una política de reembolso de seguro de $ 1 millón y servicios de recuperación de robo de identidad totalmente administrados.
Fuente: Security Week
0 Comentarios