Il colosso del fast fashion SHEIN è stato multato per oltre $ 1,9 milioni a seguito di un attacco cyber.
Le motivazioni principali alla base di tale sanzione sono che l′azienda non si è mai preparata per affrontare un attacco cyber e che dopo averlo subito, ha fornito dati falsi in merito alla quantità e qualità delle informazioni rubate.
Secondo l'Ufficio del Procuratore Generale di New York, Zoetop (ora SHEIN Distribution Corporation negli Stati Uniti) non si è nemmeno accorta della violazione e la segnalazione è arrivata da una società di carte di credito e una banca con cui l′azienda lavorava.
La società di carte di credito ha trovato i dati delle carte dei clienti SHEIN in vendita su un forum clandestino, suggerendo che i dati erano stati acquisiti in blocco dalla società stessa o da uno dei suoi partner IT.
Dall′indagine condotta l'azienda è stata accusata di non essersi preoccupata del monitoraggio della sicurezza informatica, non avendo eseguito regolari scansioni di vulnerabilità esterne o monitorato o riesaminato regolarmente i registri di controllo per identificare la sicurezza incidenti.
L′indagine ha inoltre riportato che:
1. Le funzioni di hash applicate alle password degli utenti erano troppo facili da decifrare;
2. Ha subito un'infezione da spyware all'interno del suo sistema di elaborazione dei pagamenti;
3. Non avevano un piano di disaster recovery “pronto all′uso”.
L′azienda ha inoltre divulgato dati falsi a seguito dell′attacco, dichiarando che:
• 6.420.000 utenti (coloro che avevano effettivamente effettuato ordini) sono stati interessati, sebbene fossero circa 39.000.000;
• Ha detto di aver contattato quei 6,42 milioni di utenti, quando in realtà sono stati informati solo gli utenti in Canada, Stati Uniti ed Europa;
• Ha detto ai clienti che non aveva prove che i dati delle carte di credito fossero stati presi dai loro sistemi, nonostante fosse stato avvisato della violazione da due fonti.
Questo evento ci insegna che prevenire un attacco cyber e il saper comunicare un′emergenza (con l′ausilio di un crisis communication plan) possono essere validi strumenti contro sanzioni e conseguenze spiacevoli.
Come prevenire un attacco?
Esistono molti strumenti, ma uno dei principali consiste nell′ effettuare dei test e analisi delle vulnerabilità, appoggiandosi a ditte altamente specializzate.
Successivamente, è più che mai necessario dotarsi di un idoneo strumento assicurativo che si attivi nel caso in cui un attacco cyber possa arrecarci un danno economico, un danno d′immagine o un fermo dell′attività.
Sul mercato sono attualmente presenti un gran numero di prodotti e noi sappiamo che non è sempre facile scegliere quello giusto, per questo mettiamo al tuo servizio la nostra esperienza di oltre 30 anni in ambito industriale.
Se vuoi sapere come scegliere la tua polizza cyber e quali garanzie siano le più idonee per la tua azienda,clicca qua e contatta il nostro team di tecnici.