Южная Корея оштрафовала люксовые модные бренды Louis Vuitton, Christian Dior Couture и Tiffany на 25 миллионов долларов за несоблюдение адекватных мер безопасности, что привело к несанкционированному доступу и утечке данных более чем 5,5 миллионов клиентов.
Все три бренда входят в группу Louis Vuitton Moët Hennessy (LVMH) и пострадали от утечек данных [1, 2, 3] после того, как хакеры получили доступ к их облачному сервису управления клиентами.
Комиссия по защите персональной информации (PIPC) Южной Кореи сообщает, что в случае с Louis Vuitton устройство сотрудника было заражено вредоносным ПО, что привело к компрометации их сервиса «программное обеспечение как услуга» (SaaS) и утечке данных 3,6 миллиона клиентов.
Хотя продукт не называется, исследователи Google связали эти кампании с группой ShinyHunters, которая [атаковала платформы Salesforce]. Позднее злоумышленник заявил об атаке на системы LVMH.
Утечки у трех региональных брендов в прошлом году раскрыли конфиденциальные данные клиентов, включая имена, номера телефонов, адреса электронной почты, почтовые адреса и историю покупок.
PIPC [сообщает], что Louis Vuitton использовал SaaS-инструмент с 2013 года, но «не ограничивал права доступа по IP-адресам и т. д. и не применял безопасные методы аутентификации при доступе к сервису извне».
За неадекватное обеспечение безопасности доступа к данным клиентов южнокорейское агентство по защите данных наложило на Louis Vuitton штраф в размере 16,4 миллиона долларов и предписало компании опубликовать информацию о штрафе на своем деловом веб-сайте.
У Dior утечка произошла посредством фишинговой атаки на сотрудника службы поддержки клиентов, который был обманом заставлен предоставить хакеру доступ к системе SaaS, что привело к раскрытию данных 1,95 миллиона клиентов.
Dior использовал систему с 2020 года, но не внедрил списки разрешенных IP-адресов, не установил ограничения на массовое скачивание данных и не проверял журналы доступа, что задержало обнаружение утечки более чем на три месяца.
Кроме того, Dior South Korea уведомила PIPC об утечке через пять дней после того, как узнала о ней. Согласно PIPA, организации обязаны уведомить агентство по защите данных в течение 72 часов с момента обнаружения утечки персональных данных.
В связи с этими нарушениями PIPC объявила о финансовом штрафе для Dior South Korea в размере 9,4 миллиона долларов.
Tiffany подверглась взлому аналогичным образом: злоумышленники использовали голосовой фишинг, чтобы обманом заставить сотрудника службы поддержки клиентов предоставить им доступ к системе SaaS. Однако в этом случае последствия были гораздо менее серьезными: было раскрыто 4600 клиентов.
Как и в двух других случаях, Tiffany также пренебрегла внедрением контроля доступа на основе IP-адресов и ограничений на массовое скачивание данных, а также не уведомила пострадавших лиц в установленные законом сроки. Бренд получил штраф в размере 1,85 миллиона долларов.
PIPC подчеркнула, что решения SaaS не освобождают компании от ответственности за безопасное управление данными клиентов и не перекладывают эту ответственность на поставщиков этих решений.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
