изтичане на данни по веригите за доставки

Откраднати кредитни карти и GDPR

Posted on 06.07.2018

Най-интересните случаи с откраднати кредитни карти и GDPR от онлайн магазини

Изтичане на лични данни от онлайн магазини, което е причинено през 2017 г. се установява през 2018. Нормално развитие на жизнения цикъл на една атака с открадване и продажба на лични данни на черния пазар. Периодът, през който се ликвидират последствията от подобен инцидент може да достигне десетки години.

допуснали изтичане на лични данни от началото на 2017 г. досега

След 25-ти май GDPR влез в действие. Начинът на действие на хакерите и тайните на подземните пазари определят времето, което минава след разкриване на пробивите, при които са изтекли лични данни. В последните месеци пресата публикува случаи с изтекли лични данни, които са започнали с успешни хакерски операции от началота на 2017 г. насам.

Много от тези пробиви се дължат на слабости в сигурността на платежните системи, през които са извършени плащанията. Някои от продавачите използват платежни системи на трети страни.

Списъкът с пробиви на сигурността на онлайн магазини от този период включва

Според Business Insider Intelligence, пробивите в сигурността, при които се компрометират лични данни са реална опасност за търговците и за потребителите. Те могат да ерозират авторитета на бранда и да отблъснат потребителитe.

Изследване на KPMG показва, че 19% от клиентите ще спрат завинаги да се обръщат към този търговец, а 33% ще изчакат дълго време, преди отново да се обърнат към него.

Ако сте пазарували в някой от тези онлайн магазини след началото на 2017 година!

Възможно е данните от кредитната ви карта да са компрометирани

В края на юни 2018 г. от Adidas обявиха пробив в сигурността, вследствие на който е възможно лични данни на клиенти да бъдат поставени в риск. Неустановена външна страна е получила достъп до лични данни на клиенти на компанията на сайта на Adidas в САЩ. От компанията смятат, че са засегнати само клиенти, които пазаруват от весията на adidas.com, която е предназначена за обслужване на клиенти в САЩ. Данните в потенциален риск са:

  • инфорамация за контакт;
  • имейл;
  • адрес в населеното място;
  • потребителско име;
  • парола.

Паролите са били криптирани.

Sears. Сиърс предупреди клиентите си на 4 април 2018-та за „инцидент по сигурността“ с партньор за онлайн поддръжка [24] 7.ai, който може би е довел до отвличане на данните за кредитните карти на до 100 000 души.

Инцидентът засяга купувачи, които са купили артикули онлайн от 27 септември 2017 г. до 12 октомври 2017 г.

На практика:

Пробивът на данните в онлайн доставчик на услуги може да е разкрил информация за кредитни карти на хиляди клиенти в Delta Air Lines и Sears. Това съобщават от компанията.

Доставчикът на онлайн услуги, [24]7.ai, претърпява атака с малуеър, която е успешна за злонамерените актьори. Въздържа се да оповести Delta или Sears за проблема дълго, според Sears. Мениджмънта на веригата от магазини научава з апробива в средата на март, а от Delta научават чак в началото на април.

Коментарът на нашия екип. Прекрасни примери за лоши практики в обученията по GDPR.

Това закъснение намалява до минимум шансовете на пострадалите компании да вземат мерки

  • за спиране на изтичането на лични данни;
  • да преконфигурират защитата на системите си;
  • да оповестят пострадалите за възможни рискове.

Потенциално заплашените и банките издатели на картите им би трябвало да научат първи. Тогава е възможно да се блокират и включат механизми за мониторинг на банковите сметки за аномалии.

Ликвидиране на последствията от кражбата на лични данни и компрометиране на кредитни карти

[box type=“info“] Ликвидирането на последствията от кражбата на лични данни става с активни действия на DPO и CERT[/box]

Kmart, която е притежавана от Sears Holdings, също е засегната от пробива, съобщила го на 4 април 2018 г.

Best Buy също е засегната от пробива, тръгнал от [24]7.ai. От компанията са съобщили на клиентите на 5-ти април.

„Хъдсън Бей“ (Hudson’s Bay), компанията-майка на Saks Fifth Ave, потвърди през април, че вследствие на нарушение на данните са компрометира платежните системи и следователно кредитните и дебитните карти на клиентите. Прогнозите за размера на засегнатите клиенти все още не са публикувани, но могат да бъдат в милиони. Онлайн потребители не са засегнати.

 

Hudson’s Bay притежава Lord & Taylor, множество от магазините също са засегнати от пробива на данните.

Инцидент със здравни данни носи обвинение за нарушаване на конфиденциалността на над 270 000 пациента. тук се вижда официалното обявление на Med Associates, Inc.

University of Texas MD Anderson Cancer Center е глобен $4.3 млн. от Department of Health and Human Services Office Civil Rights (OCR) за серия от пробиви с лични данни.

Изтекли са данните на 33,000 пациента. Съдържат информация от здравните им досиета за 2012 и 2013. Тогава са се случили серия такива пробиви. Загубен е лаптоп първо, а след това и USB устройство. Данните не са били криптирани според изискванията на HIPPA.