奢侈品公司Neiman Marcus称460万在线客户受数据泄露影响

总部位于达拉斯的Neiman Marcus Group 表示,它正在通知460万受2020年5月发生的数据泄露影响的在线客户。

泄露的数据包括用户名、密码以及与在线帐户相关联的安全问题和答案。Neiman Marcus 已为自违规以来未更改密码的帐户触发了密码重置。

Neiman Marcus在新闻稿中说,其他泄露的数据各不相同,但可能包括姓名和联系信息。

大约有310万张支付卡和虚拟礼品卡受到影响,但其中 85% 以上的卡要么无效,要么已过期。支付卡号和到期日期被曝光,但 CVV未被曝光,CVV是卡背面的三位数安全代码。礼品卡PIN码没有暴露。

没有使用中的 Neiman Marcus 品牌信用卡受到影响,该公司表示,没有证据表明该集团拥有的相关品牌 Bergdorf Goodman 或 Horchow 的在线账户受到影响。

Neiman Marcus没有对违规发生与公司开始通知受影响者之间的16个月间隔提供解释。一位发言人说,内曼·马库斯 (Neiman Marcus) 是在9 月初意识到这一最新问题的。

它已聘请网络安全公司 Mandiant 进行法医调查。发言人说,内曼·马库斯 (Neiman Marcus) 于周四开始向受影响的人发送电子邮件通知。

过去的违规行为

2013年和2015年,Neiman Marcus 成为攻击者的目标,最近的事件为Neiman Marcus 增添了一段坎坷的历史。

2013年,攻击者在该公司收集支付卡数据的系统上安装了恶意软件。该恶意软件在那一年活跃了大约四个月,它抓取了370,000 张支付卡的数据。大约 9,200 张卡被欺诈使用。

事件发生后,内曼·马库斯面临集体诉讼,并被43个州起诉。它在2019年达成和解,同意支付150万美元。

和解协议还要求Neiman Marcus 确保攻击者无法从其系统中窃取可用的持卡人数据,并使用加密和标记化等技术。还需要确保它符合支付卡行业的数据安全标准或 PCI-DSS,并具有支持EMV的系统,该系统可以处理带有嵌入式微芯片的卡。

2015 年 12 月,攻击者成功入侵了5,200个在线账户,其中约70个用于欺诈性购买。Neiman Marcus于 2017 年 4 月更新了其披露,称攻击者实际上可以完全访问卡号和到期日期。

同样在 2017 年 4 月,Neiman Marcus 披露了当年 1 月的一起事件,该事件影响了 Neiman Marcus 和相关品牌的网站,包括 Bergdorf Goodman、Last Call、CUSP、Horchow 和一个名为 InCircle 的忠诚度计划。这次攻击回收了从其他网站窃取的凭据,并暴露了一些客户的姓名、联系信息、电子邮件地址、购买历史和支付卡号码的最后四位数字。

网络犯罪分子无孔不入,他们为了获得经济利益,在网络中制造麻烦,盗取数据要挟企业支付赎金。尤其随着数字时代的来临,数据已成为社会运转和人们便捷生活重要的基础保障。保护数据安全已成为网络安全的核心任务。美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)调查90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。通过安全可信的代码检测工具检测及修复软件安全漏洞,提高软件安全性已成为网络防护手段的重要补充,同时也成为国际共识。

参读链接:

www.inforisktoday.com/neiman-marc…