Поделиться
Louis Vuitton, Dior и Tiffany оштрафовали на $25 миллионов за утечки пользовательских данных
Власти Южной Кореи посчитали, что представительства модных брендов не предприняли необходимых шагов для защиты клиентских данных. Впрочем, штрафы они получили сравнительно невысокие.
Штрафные санкции, или слону дробина
Власти Южной Кореи оштрафовали локальные представительства компаний Louis Vuitton, Christian Dior Couture и Tiffany в общей сложности на $25 млн за отсутствие адекватных средств защиты своей инфраструктуры, что привело к массивным утечкам пользовательских данных.
Все три компании, входящие в группу Louis Vuitton Moët Hennessy, подверглись кибератакам весной-летом 2025 года. Хакерам удалось получить доступ к облачным системам взаимодействия с клиентами (CRM) и, как следствие, произвести «утечку» данных в общей сложности 5,5 млн клиентов - граждан Южной Кореи.
По результатам расследования, проведенного Комиссией по защите персональной информации, в случае с Louis Vuitton личное устройство одного из работников было заражено вредоносной программой, после чего злоумышленники смогли скомпрометировать SaaS-решение, которым пользовались в компании, и вывести данные 3,6 млн клиентов.
В резолюции комиссии не упоминается, о каком именно SaaS-решении шла речь, однако исследователи Google увязали атаки с деятельностью хакерской группировки ShinyHunters (подтвердив заявления самих хакеров), которая серийно атаковала уязвимые платформы Salesforce.
В публикации Комиссии по защите персональных данных говорится, что Louis Vuitton использовал SaaS-инструмент с 2013 года, но так и не «разграничил права доступа к IP-адресам, и пр., и не внедрил средства безопасной аутентификации при внешнем доступе к персональной информации».
За это на Louis Vuitton был наложен штраф в размере $16,4 млн.
Утечка в Dior стала следствием фишинговой атаки на работника службы клиентской поддержки. Злоумышленники обманом заставили предоставить им доступ к SaaS-системе - и данным 1,95 млн клиентов.
SaaS-систему в Dior использовали с 2020 года, но при этом ни разграничения полномочий, ни ограничений на массовое скачивание данных выставлено не было. Вдобавок, из-за того, что системные логи никто в компании долгое время не изучал, атаку обнаружили только через три месяца, а уведомление властным органам отправили еще пять дней спустя, хотя законодательство Южной Кореи предписывает делать это в течение 72 часов.
За эти нарушения компания получила штраф в $9,4 млн.
Взлом систем Tiffany прошел по сходному сценарию: злоумышленники, правда, применили голосовой фишинг, а не почтовый. В количественном плане утечка из Tiffany была наименьшей из всех трех: хакеры получили доступ к данным «всего» 4600 клиентов.
Как выяснилось, в Tiffany тоже не удосужились реализовать механизмы контроля доступа по IP и ограничить массовое скачивание данных. Пользователи, чьи данные утекли, получили уведомления намного позже, чем предписывает закон.
Tiffany оштрафован на $1,85 млн.
В Комиссии по защите пользовательских данных указали, что наличие SaaS-систем не снимает с компаний ответственности за работу с пользовательскими данными и не перекладывает ее на поставщика решений.
«Прозвучал важный постулат: что оператор персональных данных несет за них ответственность вне зависимости от того, какая CRM-система используется в его инфраструктуре, - отмечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - То, что это подчеркивается отдельно, может свидетельствовать о том, что перечисленные бренды попытались переложить ответственность на поставщика Salesforce, хотя все указывает на то, что инцидент произошел, главным образом, вследствие собственных ошибок оштрафованных компаний. В сегодняшней парадигме разработки ПО приходится исходить из того, что в любом программном комплексе есть слабые места. К тому же, обычно в пользовательском соглашении разработчики оговаривают, что их ответственность ограничивается выпуском исправлений».
Shiny Hunters - одна из составляющих «хакерского альянса» Scattered Lapsus$ Hunters, который громко заявил о себе в последние месяцы именно благодаря атакам на системы Salesforce.
Хакерский альянс
Преимущественным методом атак был голосовой фишинг: злоумышленники звонили сотрудникам компаний-жертв и выдавали себя за представителей службы техподдержки и убеждали произвести с мобильным клиентом Salesforce манипуляции, в результате чего к внутренним системам подключалась вредоносная версия приложения Salesforce Data Loader OAuth (в некоторых случаях ее переименовывали в My Ticket Portal).
Помимо дочерних подразделений LVMH, атаки были проведены против Google, Cisco, Allianz Life, Farmers Insurance, Qantas, Adidas, Workday, а также Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France, KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel, IKEA и другие компании. Все они подверглись попыткам вымогательства.
Деятельность «альянса» отличается большой публичностью: о своих «подвигах» хакеры в открытую пишут в социальных медиа, создавая тем самым дополнительное давление на своих жертв.
Короткая ссылка
