总部位于达拉斯Neiman Marcus该集团一直以其奢侈品牌而闻名,是高富帅的首选。然而,他们以高质量的声誉受到了极大的打击,因为据报道,该公司的网络早在2020年5月就被攻击者打破了。
零售商直到17个月后才注意到这一点。
就在本周,Neiman Marcus承认这个漏洞的存在,泄露的信息包括客户的个人信息,如姓名、联系信息、支付卡信息(无CVV礼品卡号(无无)PIN代码),用户名,密码,甚至和谐Neiman Marcus与在线账户相关的安全问题。
未发现的漏洞对客户非常危险
但安全专家说,Neiman Marcus公司采取保护措施已经太晚了,而且该未经授权的访问漏洞使目前的情况更加严峻。
202年9月020年9月Neiman Marcus在申请破产之前,这可能会导致网络攻击难以识别。从安全的角度来看,一家公司很长一段时间都没有发现和修复漏洞是非常危险的。这个漏洞可能会造成更多未被发现的伤害。攻击者很可能会将系统的访问权卖给他人,以便将来访问。
虽然大多数被盗的信用卡和礼品卡不包括个人身份识别码和CVV这些数据可能已经过期,但用户名和密码信息被盗确实令人担忧。这些数据更有可能卖给其他攻击者,他们可以利用这些数据与其他被盗的个人信息一起犯罪,如身份盗窃。
他还说,现在很难找到任何关于漏洞的直接证据,因为它已经泄露了这么长时间。
研究人员认为,关键证据现在可能不在他们的系统中,他们现在很难确定最初的入侵点,攻击者已经进入了其他领域,攻击者除了窃取数据外还做了什么。所有这些要点对一个组织至关重要,可以通知受影响的部门进行调整,防止这种情况再次发生,并向执法部门提供关键证据进一步进行刑事调查。
许多机构的安全保障令人震惊
安全研究人员认为,令人惊讶的是,许多组织缺乏预防和测试能力。我们应该尽量避免指责受害者,但在许多情况下,企业在保护客户数据安全方面存在严重疏忽。
而且多违规行为中,攻击者很容易获得客户数据。
虽然攻击者或攻击方法在新闻中一直描述得非常复杂,但现实是,大多数漏洞的使用并不像一些电影情节中演示的网络攻击情节,而是类似于一些人走进前门,利用周围没有人注意,直接盗窃文件柜。
Neiman Marcus自2020年5月以来,2020年5月以来一直潜伏在其系统中。企业应采取更强的安全策略。
今天,网络上成熟的零售商依靠人工智能来处理从信用欺诈到供应物流的所有问题。当然,这也需要不断监控其在全球分布的网络和复杂的数字基础设施中的风险Neiman Marcus这些零售商不断适应更虚拟的世界,支持更新颖的远程购物方式(如最近宣布的虚拟运动鞋展览室),我们预计对该行业的攻击将会增加。这些创新为攻击者打开了更多的渠道,让他们窥探访问消费者的私人数据。企业有责任确保其消费者的个人数据能够得到最好的防御和保护。
目前,Neiman Marcus要求客户重新设置密码,并为担心信息泄露的人设立服务中心。
安全专家认为,零售商有义务在道德和法律上保护客户数据。他们有义务保护这些敏感的客户数据不被罪犯窃取。
本文翻译自:https://threatpost.com/neiman-marcus-customers-breach/175284/如果转载,请注明原始地址。