总部位于达拉斯的Neiman Marcus集团一直是作为高富帅们的首选奢侈品牌商而闻名全球。但是,他们之前以优质的质量而享有的的声誉受到了很大的打击,因为有消息称该公司的网络早在2020年5月就被攻击者攻破了。
过了17个月,零售商才注意到这一点。
就在本周,Neiman Marcus承认了这一漏洞的存在,此次泄露的信息包括客户的个人信息,如姓名、联系信息、支付卡信息(无CVV码)、礼品卡号码(无PIN码)、用户名、密码,甚至还有与Neiman Marcus在线账户相关的安全问题。
未被发现的漏洞对客户很危险
但安全专家说,Neiman Marcus公司采取保护措施已经太晚了,而且该未经授权的访问漏洞使目前的情况更加严峻。
该漏洞发生在2020年9月Neiman Marcus申请破产之前,这可能会导致网络攻击很难被识别出,从安全的角度来看,一家公司这么长时间都没有发现和修补一个漏洞是非常危险的。该漏洞可能已经造成了更多尚未被发现的危害。而且攻击者很可能会把系统的访问权卖给其他人,这样可以便于日后进行访问。
尽管现在大多数被盗的信用卡和礼品卡不包含个人身份识别码和CVV等数据,而且这些可能已经过期了,但用户名和密码信息被盗确实很令人担忧。这些数据更有可能会被卖给其他攻击者,他们可以利用这些数据与其他被盗的个人信息一起进行犯罪,如身份盗窃等。
他还说,现在很难找到任何关于该漏洞的直接证据,因为自最初泄露以来已经过去了这么长时间了。
研究人员认为,关键证据现在很可能已经不在他们的系统中了,他们现在很难确定最初的入侵点,攻击者曾经进入到了其他的哪些领域,攻击者除了窃取数据之外还做了什么。所有的这些要点对于一个组织来说都是至关重要的,这样可以通知受影响的各个部门进行调整,防止在以后再次出现这种情况,还可以提供关键证据给执法部门进一步开展刑事调查。
许多机构的安全保障情况令人很震惊
安全研究人员认为,现在许多组织缺乏预防和检测能力,这简直令人很吃惊。我们应该尽可能地避免指责受害者,但在许多情况下,企业在保护客户数据安全方面存在严重的疏忽。
而且在许多次违规事件中,攻击者很容易就可以得到他们的客户数据。
尽管在新闻中一直在把攻击者或者攻击方法描述的非常复杂,但现实情况是,大多数漏洞的利用并不像是一些电影情节中演示的'网络攻击情节',而是类似于一些人走进前门,趁着周围没有人注意,直接对一个文件柜进行盗窃这样简单。
Neiman Marcus的安全团队应该假定攻击者自2020年5月以来就一直潜伏在其系统中。并且该企业应该采取更强的安全策略。
今天,网络上成熟的零售商都在依靠人工智能来处理从信用欺诈到供应物流的一切问题,当然,这也要不断监测他们在全球分布的网络和复杂的数字基础设施中的风险,随着像Neiman Marcus这样的零售商正在不断的适应一个更加虚拟的世界,并支持更加新颖的远程购物方式(如其最近宣布的虚拟运动鞋陈列室),我们预期针对该行业的攻击会增加。这些创新为攻击者打开了更多的渠道,让他们可以窥探访问消费者的私人数据。企业有责任确保其消费者的个人数据可以得到最好的防御和保护。
目前,Neiman Marcus要求顾客重新设置密码,并为那些担心自己的信息被泄露的人设立了服务中心。
安全专家认为,零售商在道德和法律方面都有义务保护客户数据。他们有义务保护这些敏感的客户数据的安全,使其不被犯罪分子所窃取。(文章来源:嘶吼专业版)