পর্যাপ্ত নিরাপত্তা ব্যবস্থা বাস্তবায়নে ব্যর্থতার জন্য দক্ষিণ কোরিয়া বিলাসবহুল ফ্যাশন ব্র্যান্ড লুই ভুইটন, ক্রিশ্চিয়ান ডিওর কউচার এবং টিফানিকে $25 মিলিয়ন জরিমানা করেছে, যা 5.5 মিলিয়নেরও বেশি গ্রাহকের ডেটা অননুমোদিত অ্যাক্সেস এবং এক্সপোজারকে সহজতর করেছে৷
তিনটি ব্র্যান্ডই লুই ভিটন মোয়েট হেনেসি (LVMH) গ্রুপের অংশ এবং ডেটা লঙ্ঘনের শিকার হয়েছে [1, 2, 3] হ্যাকাররা তাদের ক্লাউড-ভিত্তিক গ্রাহক পরিচালন পরিষেবাতে অ্যাক্সেস পাওয়ার পরে।
দক্ষিণ কোরিয়ার ব্যক্তিগত তথ্য সুরক্ষা কমিশন (পিআইপিসি) বলেছে যে লুই ভিটনের ক্ষেত্রে, একজন কর্মচারীর ডিভাইস ম্যালওয়্যার দ্বারা সংক্রামিত হয়েছিল, যার ফলে তাদের সফ্টওয়্যার-এ-সার্ভিস (এসএএস) আপোস করা হয়েছিল এবং 3.6 মিলিয়ন গ্রাহকের ডেটা ফাঁস হয়েছিল।
যদিও পণ্যটির নাম দেওয়া হয়নি, Google গবেষকরা প্রচারগুলিকে ShinyHunters গ্যাংয়ের সাথে যুক্ত করেছেন, যা Salesforce প্ল্যাটফর্মকে লক্ষ্য করে। হুমকি অভিনেতা পরে LVMH সিস্টেম লঙ্ঘন করেছেন বলে দাবি করেন।
গত বছর তিনটি আঞ্চলিক ব্র্যান্ডের লঙ্ঘনগুলি নাম, ফোন নম্বর, ইমেল ঠিকানা, ডাক ঠিকানা এবং ক্রয়ের ইতিহাস সহ সংবেদনশীল গ্রাহক ডেটা প্রকাশ করেছে।
পিআইপিসি বলেছে যে লুই ভিটন 2013 সাল থেকে SaaS টুলটি পরিচালনা করে আসছে, কিন্তু “ইন্টারনেট প্রোটোকল (আইপি) ঠিকানা ইত্যাদিতে অ্যাক্সেসের অধিকার সীমাবদ্ধ করেনি, এবং ব্যক্তিগত তথ্য অপারেটররা বাইরে থেকে পরিষেবাটি অ্যাক্সেস করার সময় নিরাপদ প্রমাণীকরণ পদ্ধতি প্রয়োগ করেনি।”
গ্রাহকের ডেটাতে পর্যাপ্তভাবে অ্যাক্সেস সুরক্ষিত করতে ব্যর্থতার জন্য, দক্ষিণ কোরিয়ার ডেটা সুরক্ষা সংস্থা লুই ভিটনকে $16.4 মিলিয়ন জরিমানা করেছে এবং কোম্পানিকে তার ব্যবসায়িক ওয়েবসাইটে জরিমানা ঘোষণা করার নির্দেশ দিয়েছে।
Dior-এ, লঙ্ঘনটি একজন গ্রাহক পরিষেবা কর্মচারীর উপর ফিশিং আক্রমণের মাধ্যমে ঘটেছিল যিনি হ্যাকারকে SaaS সিস্টেমে অ্যাক্সেস দেওয়ার জন্য প্রতারণা করেছিলেন, 1.95 মিলিয়ন গ্রাহকের ডেটা প্রকাশ করে।
ডায়ার 2020 সাল থেকে সিস্টেমটি ব্যবহার করছিলেন, কিন্তু অনুমতি-তালিকা প্রয়োগ করেননি, বাল্ক ডেটা ডাউনলোড বিধিনিষেধ আরোপ করেননি এবং অ্যাক্সেস লগগুলি পরিদর্শন করতে ব্যর্থ হয়েছেন, লঙ্ঘনের আবিষ্কার তিন মাসেরও বেশি বিলম্বিত করেছেন।
অতিরিক্তভাবে, ডিওর দক্ষিণ কোরিয়া এটি সম্পর্কে জানার পাঁচ দিন পর PIPC-এর কাছে লঙ্ঘনের বিষয়টি প্রকাশ করেছে। PIPA-এর অধীনে, সংস্থাগুলিকে ব্যক্তিগত তথ্য ফাঁসের বিষয়ে সচেতন হওয়ার 72 ঘন্টার মধ্যে ডেটা সুরক্ষা সংস্থাকে অবহিত করতে হবে।
এই লঙ্ঘনের কারণে, PIPC ডিওর দক্ষিণ কোরিয়ার জন্য $9.4 মিলিয়ন আর্থিক জরিমানা ঘোষণা করেছে।
টিফানিকেও একইভাবে লঙ্ঘন করা হয়েছিল, আক্রমণকারীরা ভয়েস ফিশিং ব্যবহার করে একজন গ্রাহক পরিষেবা কর্মচারীকে SaaS সিস্টেমে অ্যাক্সেস দেওয়ার জন্য প্রতারণা করেছিল। যাইহোক, এই ক্ষেত্রে প্রভাব অনেক কম ছিল, যার মধ্যে 4,600 গ্রাহক জড়িত ছিল।
অন্য দুটি ক্ষেত্রের মতো, টিফানিও আইপি-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ এবং বাল্ক ডেটা ডাউনলোড বিধিনিষেধ প্রয়োগ করতে অবহেলা করেছে এবং আইনত নির্দিষ্ট সময়ের মধ্যে ক্ষতিগ্রস্ত ব্যক্তিদের অবহিত করেনি। ব্র্যান্ডটিকে $1.85 মিলিয়ন জরিমানা করা হয়েছে।
PIPC জোর দিয়েছিল যে SaaS সমাধানগুলি গ্রাহকের ডেটা নিরাপদে পরিচালনা করার দায়িত্ব থেকে কোম্পানিগুলিকে ছাড় দেয় না, বা এটি এই সমাধানগুলির বিক্রেতাদের কাছে সেই দায়িত্ব হস্তান্তর করে না।
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়ার মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লোগুলি তৈরি এবং স্কেল করতে পারে৷
