StockX – najprv len aktualizujú, potom preverujú a nakoniec priznajú, že mali únik údajov

StockX

Zdroj: TechCrunch (1), (2)

Najprv len aktualizujú

StockX je populárna web stránka, na ktorej ľudia nakupujú a predávaju tenisky a oblečenie. Minulý štvrtok rozoslali všetkým 6,8 milióna používateľov informáciu o „aktualizácii systému“. Kvôli aktualizácii vraj bolo potrebné resetovať heslo.

Na resete hesla by nebolo nič zvláštne, keby nebolo pre všetkých ich zákazníkov. Takisto je neobvyklé, aby kvôli „aktualizácii systému“ bol nutný takýto drastický krok. Komunikácia firmy bola nešťastná aj preto, lebo v dnešnom svete phishingových emailov si zákazníci neboli istí či email o resete hesla je legitímny.

Potom preverujú

Pod tlakom zákazníkov a novinárov zástupcovia firmy nakoniec priznali, že zaregistrovali „podozrivú aktivitu“. Hovorkyňa potvrdila, že stále preverujú čo sa stalo. Neodpovedala na otázky kto ich upozornil na problém, aké údaje o zákazníkoch unikli a prečo klamali o povahe masového resetu hesiel.

Nakoniec priznajú, že mali únik údajov

Nakoniec sa pravda ukázala. Nemenovaný predajca uniknutých údajov kontaktoval TechCrunch a tvrdil, že stránka bola hacknutá ešte v máji. Dáta sú na predaj na dark webe za 300 dolárov a podľa informácie na ponukovej stránke jeden človek už set osobných údajov kúpil.

Predajca poskytol vzorku 1000 záznamov ľudí, ktoré obsahujú meno, email, heš hesla, veľkosť topánky a ďalšie informácie z profilu. Ponuka osobných údajov na predaj sa objavila spolu s uniknutými dátami ďalších firiem. Po prevalení sa tejto informácie hovorkyňa ani zástupcovia firmy nereagovali na požiadavku TechCrunch komentovať celú situáciu. Reagovali a všetko priznali nakoniec až dnes.

Ponaučenie

Zákazníci by mali používať unikátne heslo pre každú službu na webe. Zabránia tak zneužitiu hesla z jednej služby na inej (aj keď v tomto prípade boli heslá hešované). Začínajúce firmy ako StockX by mali od začiatku svojho projektu myslieť na bezpečnosť. Mali by vedieť ako postupovať v prípade incidentu, aby nemuseli improvizovať a zavádzať ako v tomto prípade. Bezpečnosť je dnes súčasť biznisu ako čokoľvek iné. Chýbajúce posúdenie rizika a neinvestovanie do bezpečnostných opatrení môže znamenať v lepšom prípade poškodenie reputácie a pokutu. V horšom prípade aj koniec firmy.

Za snahu zavádzať svojich zákazníkov a investorov pri informovaní o bezpečnostnom incidente udeľujeme firme StockX titul fail týždňa.

Obrázok: „SM5_9276“ by Collision Conf, used under CC BY 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

ITAPA 2022: Výber TOP spíkrov kongresu

ITAPA 2022: Výber TOP spíkrov kongresu Téma: Ženy v IT, úspešné podnikateľky Anca D. Goron, expertka na umelú inteligenciu, zakladateľka 2 startupov, ktorá bola zaradená do…

Richard „Citrón“ Lintner exkluzívne pre ITAPA

Tlačová informácia Richard „Citrón“ Lintner exkluzívne pre ITAPA: Vychovávame výnimočných ľudí. Nie vďaka, ale skôr napriek systému Bratislava, 22. november 2022 – Je tomu už…