Zappos.com potrdil krajo podatkov o kupcih, vse oči uprte v njihovo reakcijo

Dobro znana ameriška spletna trgovina z obutvijo Zappos.com je sinoči potrdila obsežen vdor v njihove informacijske sisteme. Še neznani napadalci naj bi - in niso še povedali, kdaj - pridobili podatke o cca. 24 milijonih strankah, med temi polno ime, e-poštni naslov, domači naslov, telefonske številke, ne pa tudi gesel in plačilnih podatkov (številke kreditnih kartic, podatke o preteklih naročilih). Gesla naj bi bila dobro heširana, plačilni podatki pa naj bi bili na varnem v ločeni podatkovni bazi, do katere naj napadalcem ne bi uspelo priti. Napad velja za eno večjih kraj osebnih podatkov do zdaj, takoj za lanskoletnim vdorom v Sony-jev Playstation Network, ki je imel čez 77 milijonov uporabnikov širom oble.

Tudi takrat smo najprej slišali, da številke kreditnih kartic niso bile odtujene, kar se potem ni izkazalo za 100% resnično. Ampak pri tej zgodbi je zanimivo nekaj drugega. Zappos, ki je že nekaj let sicer v lasti Amazona, je svoj poslovni uspeh zgradil na odlični korporativni kulturi in odnosu do strank, vključujoč brezplačno in hitro dostavo, vedno dosegljivo in usposobljeno telefonsko pomoč in razne mini bonuse. Večino dohodka ustvarijo prav iz vračajočih se kupcev (75%), zato so bile vse oči zdaj na njih.

Reagirali so, tako pravijo komentatorji, razmeroma dobro. Najprej so sicer začasno odklopili klicni center, a to zato, ker ob pričakovanem številu klicev po nobeni računici ne bi mogel vzdržati (če bi klicalo že zgolj 5% strank, ki to pomenilo čez milijon klicev). Stranke so zato preusmerili na e-pošto, zaposlenim pa poslali jasna navodila, kako naj odgovarjajo, in posebej poudarili varnost podatkov o kreditnih karticah. Končno so razveljavili prav vsa gesla, in uporabnike poprosili, naj si jih ponastavijo skozi preprost spletni vmesnik. O posebnih popustih za uporabnike še ni bilo govora, a bržčas jim to ne uide.

V kolikor se v njihovi zgodbi ne bo pokazala kaka posebej velika luknja, npr. da so se nepridipravi vendarle prebili do plačilnih podatkov, da je vdor trajal že dlje časa, da je temeljil na kaki banalni varnostni pomanjkljivosti, idr., bi to znal biti vzorčni primer dobre prakse za sanacijo takšnih situacija. Seveda je vdor že sam po sebi slab - nekdo se ta trenutek masti s precej zajetno ZIP datoteko z goro obsežnih, natančnih in verjetno dragih osebnih podatkov, bi lahko bilo še slabše, če bi npr. pokopali glave v pesek in se delali, da ni bilo nič ali arogantno kričali, da je vse v redu. Oboje smo že večkrat videli.