Terceiro compromete dados de clientes da Sears, Best Buy e Delta Airlines

Terceiro compromete dados de clientes da Sears, Best Buy e Delta Airlines. Uma nova violação de dados em sistemas de terceiros ocorreu no final do ano passado e expôs informações sobre cartões de pagamento pertencentes a clientes da Delta Airlines, Sears, Best Buy e Kmart e possivelmente negócios adicionais, de acordo com divulgações públicas separadas.

Na última quinta-feira, dia 05 de abril, o provedor de serviços de aquisição e contratação de clientes [24]7.ai, sediado em San Jose, Califórnia, informou por meio de comunicado à imprensa que um incidente cibernético não especificado ocorreu de 26 de setembro a 12 de outubro de 2017, afetando os dados de pagamento online coletados por um “pequeno número de nossas empresas clientes“. A empresa, que fornece soluções para bate-papo online, agentes virtuais e análises de clientes, não especificou com precisão quantos clientes estão envolvidos, e um porta-voz da empresa não respondeu a nenhuma pergunta das perguntas da SC Media, citando “acordos de confidencialidade do cliente”.

Delta Airlines, Sears e Best Buy também publicaram divulgações, observando que [24] 7.ai notificou-as da violação apenas em março – e que [24] 7.ai diz que o assunto foi resolvido em 12 de outubro. Sears, que opera as redes de varejo Sears e Kmart disse que ficaram sabendo do incidente em “meados de março”, enquanto a Delta afirmou que tomou conhecimento do evento em 28 de março.

De acordo com comunicado da Sears, menos de 100.000 consumidores foram afetados, “O comunicado afirma ainda que: “Como resultado dessa investigação, acreditamos que as informações do cartão de crédito de alguns clientes que fizeram transações online entre 27 de setembro de 2017 e 12 de outubro de 2017 podem ter sido comprometidas. Os clientes que usam um cartão de crédito da marca Sears não foram afetados. Além disso, não há evidências de que nossas lojas tenham sido comprometidas ou que quaisquer sistemas internos da Sears tenham sido acessados pelos responsáveis. [24] 7.ai nos assegurou que seus sistemas estão agora seguros.”

“A segurança de dados é de importância fundamental para a nossa empresa e levamos muito a sério qualquer assunto relacionado às informações pessoais do cliente. A nossa principal prioridade neste momento é identificar rapidamente os clientes afetados, notificá-los e assisti-los de todas as formas possíveis”, completa o comunicado da Sears.

Enquanto isso, a Delta disse apenas que “Após ser notificada do incidente da [24]7.ai, a Delta imediatamente começou a trabalhar com [24] 7.ai para entender qualquer impacto potencial que o incidente teve sobre os clientes da Delta, delta.com ou qualquer sistema de computador da Delta. Também contratamos equipes policiais e forenses federais e confirmamos que o incidente foi resolvido por [24]7.ai em outubro do ano passado. Neste ponto, embora apenas um pequeno subconjunto de nossos clientes tenha sido exposto, não podemos afirmar com certeza se alguma informação de nossos clientes foi realmente acessada ou subsequentemente comprometida“. Além dos dados de pagamento, “nenhuma outra informação pessoal do cliente, como passaporte, identidade do governo, segurança ou informações da SkyMiles foi afetada”, continuou a Delta.

Ambas as empresas disseram que estão coordenando com as autoridades policiais e especialistas em segurança de TI. A Sears também planeja criar uma linha direta para os clientes até sexta-feira, enquanto a Delta montou um site dedicado para manter os clientes informados e atualizados.

“As violações da Sears e da Delta mostram precisamente como os ecossistemas digitais das empresas interconectadas são e por que os ataques contra terceiros são tão comuns. Isso se destaca porque são dois pelo preço de um “, disse Fred Kneip, CEO da CyberGRX.” Assim como ninguém sabe o nome do fornecedor de AVAC que levou à violação da Target em 2013, ninguém vai se lembrar do nome deste contratado quando tudo estiver resolvido. Em vez disso, os clientes lembrarão que a Sears e a Delta colocaram seus dados em risco “.

“É importante que as grandes empresas que enviam dados a terceiros sejam vigilantes e persistentes nas posturas de segurança de seus fornecedores“, disse Allen, diretor de oprações de ameaças da ZeroFOX. “Os questionários de segurança podem oferecer proteção legal, mas como a segurança digital e de marca é um risco emergente para grandes empresas, eles devem investir mais no exame real das práticas de segurança de seus fornecedores. Isso se tornará mais um problema à medida que um mercado competitivo de fornecedores atender às necessidades das empresas, enquanto as habilidades de segurança cibernética e a lacuna de cargos não atendem à oferta “.

A varejista de eletroeletrônicos Best Buy, tornou-se a terceira maior empresa a reconhecer que uma parte de suas informações sobre pagamento de clientes foi exposta em uma violação de dados de provedores de serviços de chat e de interconexão de terceiros [24]7.ai. “Desde que fomos notificados pelo [24]7.ai, temos trabalhado para determinar até que ponto as informações dos clientes online da Best Buy foram afetadas“, diz um comunicado divulgado pelo varejista de US $ 42 bilhões. “Fizemos isso em colaboração com o nosso fornecedor terceirizado e notificamos as autoridades. Da melhor maneira que podemos dizer, apenas uma pequena fração da nossa população geral de clientes online poderia ter sido pega neste incidente da [24]7.ai “.

Embora a violação tenha ocorrido de 27 de setembro a 12 de outubro de 2017, a Sears e a Delta informaram que o fornecedor não as notificou até março deste ano. A declaração da Best Buy não indica quando os executivos foram informados sobre o incidente, mas não diz se a empresa entrará em contato diretamente com os clientes afetados ou oferecerá serviços gratuitos de monitoramento de crédito.

Este caso envolvendo a Sears, Delta, Best Buy e outras, faz eco em outras notícias trazidas aqui pelo Blog Minuto da Segurança onde terceiros tem sistematicamente comprometido dados de empresas e afetando milhares de consumidores ao redor do mundo. Recentemente noticiamos que Informações de 1,3Milhões de clientes da Walmart vazam em Bucket da Amazon S3 de parceiro e que AWS mal configurado expôs dados paypal e mídias sociais de influentes.

“Ao nosso ver as empresas, nacionais e internacionais, devem prestar mais atenção e exigir comprovação da segurança implementada pelas empresas terceiras. Embora no Brasil não tenhamos leis efetivamente implementadas que penalize as empresas em tais ocorrências, o comprometimento de dados de clientes, divulgados pela mídia, afeta não somente a reputação e imagem da empresa, mas a torna vítima potencial de futuras fraudes perpetradas com estes mesmos dados roubados”, afirma Kleber Melo, diretor editorial do blog Minuto da Segurança e diretor consultor da MindSec Segurança e Tecnologia. “Na maioria das empresas, ainda não existe uma métrica consolidada dos prejuízos causados pelas falhas e comprometimento online, a maioria trata as perdas por fraudes isoladamente dos incidentes de segurança e por isto preferem “defender” budget para absorver as fraudes, ao invés de usar este budget, ou ao menos parte dele, para investir em segurança e reduzir as perdas, que podem ser muito maiores se considerado o comprometimento da marca” , complementa.

fonte: SC Media & [24]7.ai & Sears Holding & Delta,