» »

Zappos.com potrdil krajo podatkov o kupcih, vse oči uprte v njihovo reakcijo

SecurityWeek - Dobro znana ameriška spletna trgovina z obutvijo Zappos.com je sinoči potrdila obsežen vdor v njihove informacijske sisteme. Še neznani napadalci naj bi - in niso še povedali, kdaj - pridobili podatke o cca. 24 milijonih strankah, med temi polno ime, e-poštni naslov, domači naslov, telefonske številke, ne pa tudi gesel in plačilnih podatkov (številke kreditnih kartic, podatke o preteklih naročilih). Gesla naj bi bila dobro heširana, plačilni podatki pa naj bi bili na varnem v ločeni podatkovni bazi, do katere naj napadalcem ne bi uspelo priti. Napad velja za eno večjih kraj osebnih podatkov do zdaj, takoj za lanskoletnim vdorom v Sony-jev Playstation Network, ki je imel čez 77 milijonov uporabnikov širom oble.

Tudi takrat smo najprej slišali, da številke kreditnih kartic niso bile odtujene, kar se potem ni izkazalo za 100% resnično. Ampak pri tej zgodbi je zanimivo nekaj drugega. Zappos, ki je že nekaj let sicer v lasti Amazona, je svoj poslovni uspeh zgradil na odlični korporativni kulturi in odnosu do strank, vključujoč brezplačno in hitro dostavo, vedno dosegljivo in usposobljeno telefonsko pomoč in razne mini bonuse. Večino dohodka ustvarijo prav iz vračajočih se kupcev (75%), zato so bile vse oči zdaj na njih.

Reagirali so, tako pravijo komentatorji, razmeroma dobro. Najprej so sicer začasno odklopili klicni center, a to zato, ker ob pričakovanem številu klicev po nobeni računici ne bi mogel vzdržati (če bi klicalo že zgolj 5% strank, ki to pomenilo čez milijon klicev). Stranke so zato preusmerili na e-pošto, zaposlenim pa poslali jasna navodila, kako naj odgovarjajo, in posebej poudarili varnost podatkov o kreditnih karticah. Končno so razveljavili prav vsa gesla, in uporabnike poprosili, naj si jih ponastavijo skozi preprost spletni vmesnik. O posebnih popustih za uporabnike še ni bilo govora, a bržčas jim to ne uide.

V kolikor se v njihovi zgodbi ne bo pokazala kaka posebej velika luknja, npr. da so se nepridipravi vendarle prebili do plačilnih podatkov, da je vdor trajal že dlje časa, da je temeljil na kaki banalni varnostni pomanjkljivosti, idr., bi to znal biti vzorčni primer dobre prakse za sanacijo takšnih situacija. Seveda je vdor že sam po sebi slab - nekdo se ta trenutek masti s precej zajetno ZIP datoteko z goro obsežnih, natančnih in verjetno dragih osebnih podatkov, bi lahko bilo še slabše, če bi npr. pokopali glave v pesek in se delali, da ni bilo nič ali arogantno kričali, da je vse v redu. Oboje smo že večkrat videli.

7 komentarjev

mtosev ::

važno, da niso dobili št kreditnih kartic:D
i like:)

moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

SkyNet ::

Hm, kako avtor ve da je zip datoteka? Sumljivo, sumljivo :D
right minus opens, into bump easy left, flat out right, into mcdrive 3 bigmacs

nUUb ::

SkyNet je izjavil:

Hm, kako avtor ve da je zip datoteka? Sumljivo, sumljivo :D

Zato ker se ponavadi dela zip na clientovi strani in potem pošlje serverju(napadalcu), nič ni sumljivo, samo izkušnje ima.
Q9550 - P5Q Deluxe - 6Gb - nV 560Ti - 850 EVO 250GB - 2TB NAS
LG 24" 1920x1200 & Philips 19" 1280x1024

Looooooka ::

mtosev je izjavil:

važno, da niso dobili št kreditnih kartic:D

Se bolj pomembno je to, da niso bebci slucajno kontrolne številke shranjeval.
Osebno bi s številkami kartic delal enako kot z gesli...kontrolne številke je pa tko al tko prepovedano shranjevat...razen ce zelis dobit kksno "asshole of the year" nagrado.

Phantomeye ::

nUUb je izjavil:

SkyNet je izjavil:

Hm, kako avtor ve da je zip datoteka? Sumljivo, sumljivo :D

Zato ker se ponavadi dela zip na clientovi strani in potem pošlje serverju(napadalcu), nič ni sumljivo, samo izkušnje ima.



A ni obratno? Napadalec je client, tarča pa strežnik.

nUUb ::

Ponavadi imaš več tarč (clientov) in en strežnik (oz. + backup DNS).
Q9550 - P5Q Deluxe - 6Gb - nV 560Ti - 850 EVO 250GB - 2TB NAS
LG 24" 1920x1200 & Philips 19" 1280x1024

SubOrbit ::

wtf, tale odgovor je pa tko kot random crap generator


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Romunski hekerji v ZDA tri leta kradli številke kreditnih kartic

Oddelek: Novice / Varnost
464957 (1947) SkipEU
»

Zappos.com potrdil krajo podatkov o kupcih, vse oči uprte v njihovo reakcijo

Oddelek: Novice / Varnost
72733 (1409) SubOrbit
»

Sony zavoljo varnosti primoran izključiti tudi SOE, ukradene nadaljnje številke kredi

Oddelek: Novice / Varnost
223854 (2654) 3furious
»

Sony PlayStation Network nazaj prihodnji teden, številke kreditnih kartic so bile šif

Oddelek: Novice / Zasebnost
496307 (4967) opeter
»

PlayStation Network še vedno izključen, vložena tožba zoper Sony

Oddelek: Novice / Varnost
304325 (2550) XsenO

Več podobnih tem