Categoría
Fabricante
Estilo
Material
Recopilación
Artículos accedidos recientemente
Artículos populares
CategoríaFabricanteEstiloMaterialRecopilaciónArtículos accedidos recientemente
Artículos populares
Hemos resumido las preguntas frecuentes a continuación con respecto a la " Disculpa y aviso sobre la filtración de información de tarjetas de crédito debido al acceso no autorizado a nuestro sitio ".
P) El período durante el cual existe posibilidad de fuga es del 27 de noviembre de 2020 al 9 de diciembre de 2020. ¿Está bien si realicé un pago durante un período distinto a ese?
A) Estamos llevando a cabo una investigación por parte de una organización de investigación de terceros. No hay posibilidad de fuga más allá de los 195 pagos con tarjeta de crédito realizados durante el período anterior. Puedes estar seguro. Si tiene alguna pregunta, no dude en contactarnos en el mostrador de consultas. Además, cuando analizamos las fechas de compra de los clientes que realmente experimentaron un uso fraudulento, descubrimos que se concentraba entre los clientes que realizaron compras el 2/12, 3/12, 4/12, 8/12 y 9/12.
P) ¿Podré usarlo de forma segura en el futuro?
R) Nos tomamos en serio esta situación y hemos implementado todas las medidas necesarias para mejorar la seguridad según las instrucciones de una organización de investigación externa. Seguiremos esforzándonos por mejorar la seguridad y haremos todo lo posible para recuperar la confianza de nuestros clientes.
P) Tomó mucho tiempo responder al uso no autorizado, volver a emitir tarjetas y realizar cambios. ¿No hay algún tipo de compensación?
R) Como se explica en el texto principal, asumiremos todos los costos de uso fraudulento y reemplazo de la tarjeta, pero nos disculpamos profundamente por cualquier inconveniente causado a nuestros clientes. Me gustaría disculparme una vez más por las molestias. Esperamos tener noticias suyas sobre cualquier medida futura que podamos tomar. Gracias por su comprensión.
P) El descubrimiento inicial fue el 9 de diciembre de 2020 y el anuncio se realizó el 29 de marzo de 2021. ¿Por qué se retrasó tanto el anuncio?
R) Nos hemos estado comunicando con compañías de tarjetas de crédito y empresas de investigación las 24 horas del día con el objetivo de contactar a los clientes lo antes posible, pero nos disculpamos por no poder comunicarnos con usted en este momento. . Hemos estado en conversaciones con la compañía de la tarjeta de crédito, pero para evitar confusiones innecesarias, no hemos podido comunicarnos con ellos. Ahora podemos notificar a nuestros clientes sólo después de que la organización de investigación de terceros complete su investigación y las compañías de tarjetas de crédito confirmen el problema.
P) Cuéntenos sobre las medidas de mejora de seguridad que ha implementado hasta ahora.
A) Hemos tomado las siguientes medidas para evitar que vuelva a ocurrir un incidente similar en el futuro.
・Además de corregir inmediatamente la vulnerabilidad en la función de carga de archivos, también habilitamos a SELinux para mejorar la seguridad con respecto a la prevención de manipulaciones. (diciembre de 2020)
- Hemos migrado nuestro entorno de servidor a un entorno de nube pública seguro que consta del último sistema operativo/middleware. (diciembre de 2020)
・Hemos introducido un firewall altamente funcional (WAF) y hemos tomado medidas para bloquear el acceso y los ataques no autorizados. (enero 2021)
-Se introdujo la autenticación de dos pasos para el entorno del servidor y las herramientas de administración. (febrero de 2021)
・Hemos instalado software antivirus en nuestros servidores y realizamos comprobaciones antivirus periódicas. (febrero de 2021)
・Aplicamos regularmente parches críticos a nivel de sistema operativo/middleware. (marzo de 2021)
-Se introdujo la solución FIM (File Integrity Monitoring) para detectar la manipulación de archivos. (abril de 2021)
・Además de lo anterior, hemos implementado varias medidas de mejora de seguridad.
P) Cuéntenos sobre las medidas de mejora de seguridad que planea implementar en el futuro.
R) Planeamos implementar las siguientes medidas bajo la guía de una organización de investigación externa y una empresa especialista en seguridad.
・Diagnóstico de seguridad periódico por parte de una empresa especialista en seguridad.
・Implementación periódica de evaluaciones internas de vulnerabilidad.
・Almacenamiento a largo plazo de registros mediante SIEM (Gestión de eventos e información de seguridad) ・Además de lo anterior, continuaremos implementando medidas para mejorar la solidez de nuestros sistemas.
P) ¿Almacenó información de la tarjeta de crédito (número de tarjeta, fecha de vencimiento, cable de seguridad) en el servidor?
R) No. Utilizamos un servicio de pago sin transferencia (tipo JavaScript) compatible con PCI-DSS proporcionado por Stripe, y no se almacena información de la tarjeta de crédito del cliente en nuestros servidores. En este ataque, al alterar la página de pago, se colocó un formulario de entrada similar que se parecía mucho al formulario de entrada de tarjeta de crédito original, y la información ingresada en el momento en que se presionó el botón de pago se transfirió al sitio web del atacante. Fue diseñado para ser reenviado.
P) ¿Qué significa que la información de mi tarjeta de crédito puede haber sido comprometida? ¿Existe la posibilidad de que no se haya filtrado?
R) No hemos podido confirmar que realmente se haya transferido ninguna información al sitio del atacante, pero estamos procediendo con el procedimiento como una posibilidad para todas las tarjetas que se utilizaron para el pago durante el período en que el archivo de ataque existía en el servidor. Masú. Por lo tanto, existe la posibilidad de que los clientes que realizaron pagos durante este período en realidad no sufrieran un incumplimiento. Cuando analizamos las fechas de compra de los clientes que realmente experimentaron un uso fraudulento, descubrimos que se concentraba entre los clientes que realizaron compras el 2/12, 3/12, 4/12, 8/12 y 9/12. Existe la posibilidad de que el formulario falso haya sido retirado durante otros períodos (*Esto ha sido confirmado por nuestra empresa).
P) ¿Cómo recibiré un reembolso en caso de uso no autorizado? Además, ¿habrá algún cargo por reemplazar la tarjeta?
A) No será responsable de ningún costo incurrido en relación con este incidente. Como se indica en el texto principal del informe, verifique los datos de su tarjeta de crédito y asegúrese de comunicarse con la compañía de su tarjeta de crédito si hay algún uso no autorizado.
P) ¿Seguirá ApparelX brindando servicios?
R) Nos tomamos en serio esta situación y hemos implementado todas las medidas necesarias para mejorar la seguridad según las instrucciones de una organización de investigación externa. Seguiremos esforzándonos por mejorar la seguridad y haremos todo lo posible para recuperar la confianza de nuestros clientes.
P) Me gustaría cancelar mi suscripción a ApparelX y eliminar toda la información.
A) Elimine la información de su cuenta desde la eliminación de cuenta en Mi cuenta. Toda la información almacenada en nuestro sitio será eliminada.
P) ¿Cuándo volverán a aceptar pagos con tarjeta de crédito?
R) Actualmente estamos en conversaciones con la empresa de procesamiento de pagos. Haremos un anuncio en el sitio web cuando volvamos a abrir. (Agregado el 28/4) Después de recibir la aprobación de cada compañía de tarjetas, reanudamos los pagos con tarjeta de crédito el 28/4/2021.
