» »

Zappos.com potrdil krajo podatkov o kupcih, vse oči uprte v njihovo reakcijo

Zappos.com potrdil krajo podatkov o kupcih, vse oči uprte v njihovo reakcijo

SecurityWeek - Dobro znana ameriška spletna trgovina z obutvijo Zappos.com je sinoči potrdila obsežen vdor v njihove informacijske sisteme. Še neznani napadalci naj bi - in niso še povedali, kdaj - pridobili podatke o cca. 24 milijonih strankah, med temi polno ime, e-poštni naslov, domači naslov, telefonske številke, ne pa tudi gesel in plačilnih podatkov (številke kreditnih kartic, podatke o preteklih naročilih). Gesla naj bi bila dobro heširana, plačilni podatki pa naj bi bili na varnem v ločeni podatkovni bazi, do katere naj napadalcem ne bi uspelo priti. Napad velja za eno večjih kraj osebnih podatkov do zdaj, takoj za lanskoletnim vdorom v Sony-jev Playstation Network, ki je imel čez 77 milijonov uporabnikov širom oble.

Tudi takrat smo najprej slišali, da številke kreditnih kartic niso bile odtujene, kar se potem ni izkazalo za 100% resnično. Ampak pri tej zgodbi je zanimivo nekaj drugega. Zappos, ki je že nekaj let sicer v lasti Amazona, je svoj poslovni uspeh zgradil na odlični korporativni kulturi in odnosu do strank, vključujoč brezplačno in hitro dostavo, vedno dosegljivo in usposobljeno telefonsko pomoč in razne mini bonuse. Večino dohodka ustvarijo prav iz vračajočih se kupcev (75%), zato so bile vse oči zdaj na njih.

Reagirali so, tako pravijo komentatorji, razmeroma dobro. Najprej so sicer začasno odklopili klicni center, a to zato, ker ob pričakovanem številu klicev po nobeni računici ne bi mogel vzdržati (če bi klicalo že zgolj 5% strank, ki to pomenilo čez milijon klicev). Stranke so zato preusmerili na e-pošto, zaposlenim pa poslali jasna navodila, kako naj odgovarjajo, in posebej poudarili varnost podatkov o kreditnih karticah. Končno so razveljavili prav vsa gesla, in uporabnike poprosili, naj si jih ponastavijo skozi preprost spletni vmesnik. O posebnih popustih za uporabnike še ni bilo govora, a bržčas jim to ne uide.

V kolikor se v njihovi zgodbi ne bo pokazala kaka posebej velika luknja, npr. da so se nepridipravi vendarle prebili do plačilnih podatkov, da je vdor trajal že dlje časa, da je temeljil na kaki banalni varnostni pomanjkljivosti, idr., bi to znal biti vzorčni primer dobre prakse za sanacijo takšnih situacija. Seveda je vdor že sam po sebi slab - nekdo se ta trenutek masti s precej zajetno ZIP datoteko z goro obsežnih, natančnih in verjetno dragih osebnih podatkov, bi lahko bilo še slabše, če bi npr. pokopali glave v pesek in se delali, da ni bilo nič ali arogantno kričali, da je vse v redu. Oboje smo že večkrat videli.

7 komentarjev

mtosev ::

važno, da niso dobili št kreditnih kartic:D
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

SkyNet ::

Hm, kako avtor ve da je zip datoteka? Sumljivo, sumljivo :D
right minus opens, into bump easy left, flat out right, into mcdrive 3 bigmacs

nUUb ::

SkyNet je izjavil:

Hm, kako avtor ve da je zip datoteka? Sumljivo, sumljivo :D

Zato ker se ponavadi dela zip na clientovi strani in potem pošlje serverju(napadalcu), nič ni sumljivo, samo izkušnje ima.
i7 2600k@4.8GHz - nV 760 - 850 EVO 250GB - 4TB FreeNAS
ASUS 1920x1080@144Hz

Looooooka ::

mtosev je izjavil:

važno, da niso dobili št kreditnih kartic:D

Se bolj pomembno je to, da niso bebci slucajno kontrolne številke shranjeval.
Osebno bi s številkami kartic delal enako kot z gesli...kontrolne številke je pa tko al tko prepovedano shranjevat...razen ce zelis dobit kksno "asshole of the year" nagrado.

Phantomeye ::

nUUb je izjavil:

SkyNet je izjavil:

Hm, kako avtor ve da je zip datoteka? Sumljivo, sumljivo :D

Zato ker se ponavadi dela zip na clientovi strani in potem pošlje serverju(napadalcu), nič ni sumljivo, samo izkušnje ima.



A ni obratno? Napadalec je client, tarča pa strežnik.

nUUb ::

Ponavadi imaš več tarč (clientov) in en strežnik (oz. + backup DNS).
i7 2600k@4.8GHz - nV 760 - 850 EVO 250GB - 4TB FreeNAS
ASUS 1920x1080@144Hz

SubOrbit ::

wtf, tale odgovor je pa tko kot random crap generator


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Se Facebooku v ZDA obeta rekordna globa?

Oddelek: Novice / Tožbe
65063 (4112) vahid
»

Hekerski napad Target bistveno obsežnejši

Oddelek: Novice / Varnost
148133 (6465) Val202
»

Blizzard potrdil krajo e-poštnih naslovov in zgoščenih gesel za Battle.net

Oddelek: Novice / Igre
316834 (5679) Mipe
»

140 tisoč KPN-jevih naročnikov ohranilo isto privzeto geslo

Oddelek: Novice / Varnost
187081 (6371) Gandalfar
»

Heker zatrjuje vdor v sistem 79 bank, krajo 50GB plačilnih podatkov

Oddelek: Novice / Varnost
84441 (2221) Jernej L

Več podobnih tem