达拉斯的NeimanMarcus集团一直被誉为全球富豪首选的奢侈品牌。然而,当有消息称该公司的网络在2020年5月遭到攻击者入侵时,他们之前的优质声誉受到重创。零售商花了17个月的时间才注意到这一点。就在本周,NeimanMarcus承认违规,泄露的信息包括客户的个人信息,如姓名、联系方式、支付卡信息(无CVV码)、礼品卡号(无PIN码)、用户名、密码,甚至与NeimanMarcus在线帐户相关的安全问题。未发现的漏洞对客户构成威胁但安全专家表示,NeimanMarcus保护已为时已晚,而未经授权的访问漏洞使事情变得更糟。该漏洞发生在NeimanMarcus于2020年9月申请破产之前,这可能导致难以识别网络攻击。从安全的角度来看,一个公司这么长时间不去发现和修补一个漏洞,是非常危险的。该漏洞可能造成了更多尚未被发现的危害。并且攻击者很可能将系统的访问权限出售给其他人,这可以方便以后的访问。虽然如今大多数被盗的信用卡和礼品卡不包含PIN和CVV等数据,而且这些数据可能已经过期,但被盗的用户名和密码信息确实令人担忧。这些数据更有可能被出售给其他攻击者,这些攻击者可以使用它与其他被盗个人信息一起实施身份盗窃等犯罪。他还表示,现在很难找到该漏洞的任何直接证据,因为自最初泄漏以来已经过去了很长时间。研究人员认为,关键证据现在很可能已不在他们的系统中,他们现在很难确定入侵的原始点、攻击者还访问了哪些其他区域以及攻击者除了窃取数据之外还做了什么。所有这些对于一个组织通知受影响的部门做出调整、防止这种情况在未来再次发生,并为执法部门提供进一步刑事调查的关键证据至关重要。许多组织的安全状况令人震惊安全研究人员认为,当今许多组织缺乏预防和检测能力简直令人震惊。应尽可能避免指责受害者,但在许多情况下,企业在保护客户数据安全方面存在严重疏忽。在许多漏洞中,攻击者可以轻松访问他们的客户数据。虽然在新闻中已经将攻击者或攻击手段描述得非常复杂,但现实情况是,大多数漏洞的利用并不像某些电影情节中所展示的“网络攻击情节”,而是类似于一些人走路那样简单趁无人注意进入前门偷了一个文件柜。NeimanMarcus的安全团队应该假设攻击者自2020年5月以来一直潜伏在他们的系统中。企业应该采取更强大的安全策略。如今,精通在线业务的零售商依靠人工智能来处理从信用欺诈到供应物流的一切事务,当然,还要持续监控其全球分布网络和复杂数字基础设施中的风险,就像NeimanMarcus等零售商继续为了适应更加虚拟的世界并支持新颖的远程购物方式(例如其最近宣布的虚拟运动鞋陈列室),我们预计针对该行业的攻击将会增加。这些创新为攻击者提供了更多途径来窥探消费者的私人数据。企业有责任确保其消费者的个人数据得到最好的保护。NeimanMarcus目前正在要求客户重置密码,并为那些担心自己的信息被泄露的人设立了一个服务中心。安全专家认为,零售商有保护客户数据的道德和法律义务。他们有义务保护这些敏感的客户数据免受犯罪分子的侵害。本文翻译自:https://threatpost.com/neiman-marcus-customers-breach/175284/如有转载请注明出处。
