O fornecedor da Web CafePress multado em US$ 500.000 por dar à segurança cibernética um valor baixo

0 0

O CafePress é um serviço web que permite que artistas, lojas, empresas, fã-clubes – qualquer um que se inscreva, de fato – transforme desenhos, slogans corporativos, logotipos e afins em mercadorias divertidas que possam doar ou vender para outros.

Os dias em que você teve que colocar em um pedido para várias centenas de canecas de café (ou bolas de golfe, ou mousemats, ou camisetas, ou capuzes) apenas para obter um com o nome da empresa sobre eles são há muito tempo, com até mesmo pedidos de merch one-off possível graças a pedidos on-line.

Infelizmente, como a Comissão Federal de Comércio dos EUA explicou na semana passada em um relatório de caso intitulado Sem rodeios cafepress, na questão de, a empresa não estava à altura quando se tratava de cuidar dos dados pessoais de seus clientes e vendedores inscritos.

De acordo com a FTC, o serviço CafePress sofreu uma violação de dados, descoberta e relatada no início de 2019, que não foi adotada de forma rápida ou eficaz, tornando os efeitos colaterais finais da violação muito piores do que deveriam ter sido.

Em outras palavras, mesmo que a própria empresa tenha sido vítima de um crime cibernético, ela foi, no entanto, censurada e multada pelo que fez (e não fez), antes e depois desse crime cibernético.

A violação, diz a FTC, viu os hackers fugirem com mais de 20.000.000 endereços de e-mail de texto simples e senhas fracamente hashed; milhões de nomes não criptografados, endereços físicos e perguntas e respostas de segurança; mais de 180.000 SSNs não criptografados (números de segurança social); e, para dezenas de milhares de cartões de pagamento, os últimos quatro dígitos do cartão mais a data de validade.

O desleixo do acompanhamento da empresa para este desleixo levou a uma manchete clara sobre o próprio comunicado de imprensa do governo: FTC toma medidas contra o CafePress por violação de dados encobrimento.

Ordem de consentimento emitida

Como parte do acordo da FTC, conhecido na linguagem dos EUA como uma ordem de consentimento, o proprietário da Cafe Press na época – uma empresa com o nome quizzical de Residual Pumpkin – pagará uma multa de US$ 500.000.

Tanto a Residual Pumpkin quanto a nova holding do site, Planet Art, estarão sujeitas a inúmeras outras condições, incluindo submeter-se a avaliações de segurança a cada dois anos pelos próximos 20 anos.

Importante para qualquer empresa lá fora que ainda pague pouco mais do que serviço labial à segurança cibernética, a FTC não foi antipática para cafepress-a-vítima de crimes cibernéticos.

Mas a FTC foi profundamente crítica ao CafePress-as-a-21-century-holder-and-processador de informações pessoais.

Em particular, a FTC censurou o CafePress para o seguinte:

• Deturpar as medidas tomadas para proteger informações pessoais.
• Deturpando os passos necessários para proteger as contas dos consumidores após incidentes de segurança.
• Falhando em empregar práticas razoáveis de segurança de dados.
• Deturpando como ele usaria endereços de e-mail.
• Deturpando a adesão da empresa aos regulamentos de privacidade nos EUA e na UE.
• Deturpando sua intenção de honrar pedidos de exclusão de dados por clientes e vendedores.

Segurança cibernética não-não

A FTC captou explicitamente sobre ciberseuridade e proteção de dados no-nos, tais como:

• Armazenar hashes de senha sem sal ou alongamento, tornando as senhas muito mais fáceis de quebrar se um banco de dados de senhas for roubado, como aconteceu neste caso.

• Armazenar perguntas e respostas de recuperação de senhas em plaintext, facilitando as redefinições de senha para criminosos após uma violação.
• Continuando a permitir que essas respostas de recuperação roubadas sejam usadas para redefinições de senha por pelo menos seis meses depois de alegar ter corrigido esse problema.
• Deixando de notificar os usuários da violação por vários meses depois que ela foi relatada pela primeira vez, e mesmo por várias semanas depois de saber que os dados roubados do cliente estavam à venda na dark web.
• Não acompanhando os incidentes de infecção por malware com qualquer tipo de análise de ameaças para ver quais falhas de segurança poderiam ter sido abertas através desse malware.
• Não notar a aquisição da conta de e-mail de um funcionário por vários meses depois que esse funcionário havia experimentado vários incidentes de malware.
• Não investigar os esforços para desviar os depósitos da folha de pagamento dos funcionários até a terceira vez que essa atividade criminosa foi relatada.
• Não ter nenhuma maneira confiável de receber e agir em alertas de segurança de pesquisadores de segurança de boa fé, clientes ou terceiros, incluindo respondentes de cibersegurança do setor público.
• Negligenciando o patch contra vulnerabilidades conhecidas e continuando a usar software obsoleto que já não recebia patches.
• Cobrando aos usuários uma taxa de US$ 25 para fechar suas contas após a violação.

O que é que eu faço?

1. Trate a segurança cibernética como um valor a ser maximizado, não apenas como um custo a ser minimizado. Não só seus clientes, mas também os reguladores esperam que você pague mais do que o serviço labial à segurança cibernética nos dias de hoje.

2. Não apenas remova o malware e siga em frente. Limpar arquivos de malware é uma parte necessária do seu processo de recuperação, mas você precisa procurar outros efeitos colaterais que o malware poderia ter causado enquanto estava ativo.

3. Sempre investigue anomalias. Não espere até a terceira vez que os cibercriminosos tentam roubar de sua equipe antes de agir para descobrir o que está acontecendo.

4. Ajude os pesquisadores de segurança a se apossar de você facilmente. A maneira mais fácil é simplesmente adicionar um arquivo de texto chamado que é visível através de sua URL principal, como você verá se você visitar https://sophos.com/security.txt.security.txt

FONTE: SOPHOS