Najprv len aktualizujú
StockX je populárna web stránka, na ktorej ľudia nakupujú a predávaju tenisky a oblečenie. Minulý štvrtok rozoslali všetkým 6,8 milióna používateľov informáciu o „aktualizácii systému“. Kvôli aktualizácii vraj bolo potrebné resetovať heslo.
Na resete hesla by nebolo nič zvláštne, keby nebolo pre všetkých ich zákazníkov. Takisto je neobvyklé, aby kvôli „aktualizácii systému“ bol nutný takýto drastický krok. Komunikácia firmy bola nešťastná aj preto, lebo v dnešnom svete phishingových emailov si zákazníci neboli istí či email o resete hesla je legitímny.
Potom preverujú
Pod tlakom zákazníkov a novinárov zástupcovia firmy nakoniec priznali, že zaregistrovali „podozrivú aktivitu“. Hovorkyňa potvrdila, že stále preverujú čo sa stalo. Neodpovedala na otázky kto ich upozornil na problém, aké údaje o zákazníkoch unikli a prečo klamali o povahe masového resetu hesiel.
Nakoniec priznajú, že mali únik údajov
Nakoniec sa pravda ukázala. Nemenovaný predajca uniknutých údajov kontaktoval TechCrunch a tvrdil, že stránka bola hacknutá ešte v máji. Dáta sú na predaj na dark webe za 300 dolárov a podľa informácie na ponukovej stránke jeden človek už set osobných údajov kúpil.
Predajca poskytol vzorku 1000 záznamov ľudí, ktoré obsahujú meno, email, heš hesla, veľkosť topánky a ďalšie informácie z profilu. Ponuka osobných údajov na predaj sa objavila spolu s uniknutými dátami ďalších firiem. Po prevalení sa tejto informácie hovorkyňa ani zástupcovia firmy nereagovali na požiadavku TechCrunch komentovať celú situáciu. Reagovali a všetko priznali nakoniec až dnes.
Ponaučenie
Zákazníci by mali používať unikátne heslo pre každú službu na webe. Zabránia tak zneužitiu hesla z jednej služby na inej (aj keď v tomto prípade boli heslá hešované). Začínajúce firmy ako StockX by mali od začiatku svojho projektu myslieť na bezpečnosť. Mali by vedieť ako postupovať v prípade incidentu, aby nemuseli improvizovať a zavádzať ako v tomto prípade. Bezpečnosť je dnes súčasť biznisu ako čokoľvek iné. Chýbajúce posúdenie rizika a neinvestovanie do bezpečnostných opatrení môže znamenať v lepšom prípade poškodenie reputácie a pokutu. V horšom prípade aj koniec firmy.
Za snahu zavádzať svojich zákazníkov a investorov pri informovaní o bezpečnostnom incidente udeľujeme firme StockX titul fail týždňa.
Obrázok: „SM5_9276“ by Collision Conf, used under CC BY 2.0
