[[427536]]

總部位于達(dá)拉斯的Neiman Marcus集團(tuán)一直是作為高富帥們的首選奢侈品牌商而聞名全球。但是，他們之前以?xún)?yōu)質(zhì)的質(zhì)量而享有的的聲譽(yù)受到了很大的打擊，因?yàn)橛邢⒎Q(chēng)該公司的網(wǎng)絡(luò)早在2020年5月就被攻擊者攻破了。

過(guò)了17個(gè)月，零售商才注意到這一點(diǎn)。

就在本周，Neiman Marcus承認(rèn)了這一漏洞的存在，此次泄露的信息包括客戶(hù)的個(gè)人信息，如姓名、聯(lián)系信息、支付卡信息(無(wú)CVV碼)、禮品卡號(hào)碼(無(wú)PIN碼)、用戶(hù)名、密碼，甚至還有與Neiman Marcus在線(xiàn)賬戶(hù)相關(guān)的安全問(wèn)題。

未被發(fā)現(xiàn)的漏洞對(duì)客戶(hù)很危險(xiǎn)

但安全專(zhuān)家說(shuō)，Neiman Marcus公司采取保護(hù)措施已經(jīng)太晚了，而且該未經(jīng)授權(quán)的訪(fǎng)問(wèn)漏洞使目前的情況更加嚴(yán)峻。

該漏洞發(fā)生在2020年9月Neiman Marcus申請(qǐng)破產(chǎn)之前，這可能會(huì)導(dǎo)致網(wǎng)絡(luò)攻擊很難被識(shí)別出，從安全的角度來(lái)看，一家公司這么長(zhǎng)時(shí)間都沒(méi)有發(fā)現(xiàn)和修補(bǔ)一個(gè)漏洞是非常危險(xiǎn)的。該漏洞可能已經(jīng)造成了更多尚未被發(fā)現(xiàn)的危害。而且攻擊者很可能會(huì)把系統(tǒng)的訪(fǎng)問(wèn)權(quán)賣(mài)給其他人，這樣可以便于日后進(jìn)行訪(fǎng)問(wèn)。

盡管現(xiàn)在大多數(shù)被盜的信用卡和禮品卡不包含個(gè)人身份識(shí)別碼和CVV等數(shù)據(jù)，而且這些可能已經(jīng)過(guò)期了，但用戶(hù)名和密碼信息被盜確實(shí)很令人擔(dān)憂(yōu)。這些數(shù)據(jù)更有可能會(huì)被賣(mài)給其他攻擊者，他們可以利用這些數(shù)據(jù)與其他被盜的個(gè)人信息一起進(jìn)行犯罪，如身份盜竊等。

他還說(shuō)，現(xiàn)在很難找到任何關(guān)于該漏洞的直接證據(jù)，因?yàn)樽宰畛跣孤兑詠?lái)已經(jīng)過(guò)去了這么長(zhǎng)時(shí)間了。

研究人員認(rèn)為，關(guān)鍵證據(jù)現(xiàn)在很可能已經(jīng)不在他們的系統(tǒng)中了，他們現(xiàn)在很難確定最初的入侵點(diǎn)，攻擊者曾經(jīng)進(jìn)入到了其他的哪些領(lǐng)域，攻擊者除了竊取數(shù)據(jù)之外還做了什么。所有的這些要點(diǎn)對(duì)于一個(gè)組織來(lái)說(shuō)都是至關(guān)重要的，這樣可以通知受影響的各個(gè)部門(mén)進(jìn)行調(diào)整，防止在以后再次出現(xiàn)這種情況，還可以提供關(guān)鍵證據(jù)給執(zhí)法部門(mén)進(jìn)一步開(kāi)展刑事調(diào)查。

許多機(jī)構(gòu)的安全保障情況令人很震驚

安全研究人員認(rèn)為，現(xiàn)在許多組織缺乏預(yù)防和檢測(cè)能力，這簡(jiǎn)直令人很吃驚。我們應(yīng)該盡可能地避免指責(zé)受害者，但在許多情況下，企業(yè)在保護(hù)客戶(hù)數(shù)據(jù)安全方面存在嚴(yán)重的疏忽。

而且在許多次違規(guī)事件中，攻擊者很容易就可以得到他們的客戶(hù)數(shù)據(jù)。

盡管在新聞中一直在把攻擊者或者攻擊方法描述的非常復(fù)雜，但現(xiàn)實(shí)情況是，大多數(shù)漏洞的利用并不像是一些電影情節(jié)中演示的'網(wǎng)絡(luò)攻擊情節(jié)'，而是類(lèi)似于一些人走進(jìn)前門(mén)，趁著周?chē)鷽](méi)有人注意，直接對(duì)一個(gè)文件柜進(jìn)行盜竊這樣簡(jiǎn)單。

Neiman Marcus的安全團(tuán)隊(duì)?wèi)?yīng)該假定攻擊者自2020年5月以來(lái)就一直潛伏在其系統(tǒng)中。并且該企業(yè)應(yīng)該采取更強(qiáng)的安全策略。

今天，網(wǎng)絡(luò)上成熟的零售商都在依靠人工智能來(lái)處理從信用欺詐到供應(yīng)物流的一切問(wèn)題，當(dāng)然，這也要不斷監(jiān)測(cè)他們?cè)谌蚍植嫉木W(wǎng)絡(luò)和復(fù)雜的數(shù)字基礎(chǔ)設(shè)施中的風(fēng)險(xiǎn)，隨著像Neiman Marcus這樣的零售商正在不斷的適應(yīng)一個(gè)更加虛擬的世界，并支持更加新穎的遠(yuǎn)程購(gòu)物方式(如其最近宣布的虛擬運(yùn)動(dòng)鞋陳列室)，我們預(yù)期針對(duì)該行業(yè)的攻擊會(huì)增加。這些創(chuàng)新為攻擊者打開(kāi)了更多的渠道，讓他們可以窺探訪(fǎng)問(wèn)消費(fèi)者的私人數(shù)據(jù)。企業(yè)有責(zé)任確保其消費(fèi)者的個(gè)人數(shù)據(jù)可以得到最好的防御和保護(hù)。

目前，Neiman Marcus要求顧客重新設(shè)置密碼，并為那些擔(dān)心自己的信息被泄露的人設(shè)立了服務(wù)中心。

安全專(zhuān)家認(rèn)為，零售商在道德和法律方面都有義務(wù)保護(hù)客戶(hù)數(shù)據(jù)。他們有義務(wù)保護(hù)這些敏感的客戶(hù)數(shù)據(jù)的安全，使其不被犯罪分子所竊取。

本文翻譯自：https://threatpost.com/neiman-marcus-customers-breach/175284/如若轉(zhuǎn)載，請(qǐng)注明原文地址。