Инцидент ИБ у Louis Vuitton
Гигант модной индустрии Louis Vuitton подтвердил инцидент ИБ в начале июля. В ходе этого инцидента ИБ произошла утечка персональных данных покупателей из ряда стран. Финансовые сведения не были затронуты. За последние месяцы это уже третий инцидент ИБ, случившийся в компании LVMH, объединяющей ряд модных брендов класса люкс.
Как признаются в Louis Vuitton, инцидент, случившийся 2 июля, привел к утечке данных клиентов из Великобритании. Уведомления о потере конфиденциальной информации также разосланы покупателям из Южной Кореи и Турции. По всей видимости, все инциденты связаны между собой. Могли пострадать клиенты и из других стран. По словам экспертов по кибербезопасности, злоумышленники использовали инъекцию вредоносного кода или применили метод подмены учетных данных.
Скомпрометированные данные включают имена клиентов, контактную информацию и полную историю покупок — информацию, которая может быть использована для атак на основе социальной инженерии и в различных схемах кражи персональных данных.
В пресс-релизах, выпущенных для Кореи и Турции, указывается, что хакеры получили доступ к данным примерно за месяц до обнаружения инцидента.
В Турции Louis Vuitton сообщил, что утечка данных затронула почти 143 тыс. жителей. В том же заявлении говорится, что инцидент случился в результате взлома учётной записью, связанной с поставщиком услуг.
Хотя Louis Vuitton использовал шифрование финансовых данных, инцидент вскрыл ряд серьезных уязвимостей в системе безопасности периметра и сегментации сети компании.
Вероятно, вектор атаки был направлен на эксплуатацию уязвимости типа zero-day в CRM-системе. Злоумышленники смогли обойти стандартные системы обнаружения вторжений (IPS) и межсетевые экраны веб-приложений (WAF).
Аналитики по кибербезопасности предполагают, что хакеры использовали сложные методы APT-вторжений, позволяющие длительное время скрывать свои действия и перемещаться горизонтально по сети.
Этот инцидент является частью серии атак, которые в последние месяцы накрыли модную индустрию — премиум-бренды и торговые сети, которые продают одежду, обувь и аксессуары класса люкс. Аналогичным атакам подверглись Marks & Spencer, Co-op, Harrods и ряд других компаний.
Дополнительную сложность для защиты модной индустрии представляет распространение вредоносного ПО как сервиса (RaaS) и атаки на цепочки поставок.
Недавние аресты четырех человек, включая 17-летнего жителя Уэст-Мидлендса, указывают на то, что организованные преступные группы широко используют ботнеты и методы сбора учетных данных.
Группа реагирования на инциденты в Louis Vuitton смогла оперативно локализовать угрозу, реализовав протоколы изоляции сети. Для проведения комплексной оценки инцидента привлечена группа специалистов по цифровой криминалистике.
В настоящее время во всех дочерних компаниях холдинга LVMH проводятся тесты на проникновение и используется оценка уязвимостей для выявления потенциальных направлений атак.
Известно, что организация внедрила дополнительные решения для обнаружения угроз и реагирования на них в области конечных точек (EDR) и усилила протоколы многофакторной аутентификации (MFA).
Специалисты по безопасности внедряют алгоритмы поведенческой аналитики и машинного обучения для выявления аномальных схем доступа и предотвращения будущих попыток повышения привилегий.
В соответствии со статьей 33 GDPR, которая обязывает компании уведомлять об инцидентах в течение 72 часов после их обнаружения, Louis Vuitton сообщил о нарушении в Управление британского комиссара по информации (ICO).
Источники: Cyber Security News, Security Week