FatFace sieht sich nach kontroverser Reaktion auf einen Sicherheitsverstoß dem Zorn der Kunden ausgesetzt

Cyber Security News

Der britische Bekleidungshändler FatFace sieht sich wegen seines Umgangs mit einem “ausgeklügelten kriminellen Angriff”, der zur Kompromittierung der persönlichen Daten (PII) von Kunden führte, einem wachsenden Sturm der Kritik ausgesetzt.

In einer E-Mail an die Kunden, die vom HaveIGotPwned?-Gründer Troy Hunt diese Woche veröffentlicht wurde, enthüllte das Unternehmen, dass die verletzten Daten die vollständigen Namen, E-Mail- und Privatadressen der Kunden sowie einen Teil der Kartendaten (die letzten vier Ziffern und den CVV) enthielten.

“Am 17. Januar 2021 hat FatFace einige verdächtige Aktivitäten in seinen IT-Systemen festgestellt”, heißt es in der E-Mail.

“Wir haben sofort eine Untersuchung mit Hilfe erfahrener Sicherheitsexperten eingeleitet, die nach eingehender Prüfung feststellten, dass sich ein unbefugter Dritter während eines begrenzten Zeitraums Anfang desselben Monats Zugang zu bestimmten von uns betriebenen Systemen verschafft hatte. FatFace konnte den Vorfall schnell eindämmen und begann mit der Überprüfung und Kategorisierung der Daten, die möglicherweise von dem Vorfall betroffen waren.”

Allerdings wurde das Unternehmen von Sicherheitsexperten und Kunden für seinen Umgang mit dem Vorfall kritisiert.

Trotz der Behauptung in der E-Mail, dass der Fokus auf “Kundenbetreuung und regulatorischen Anforderungen, einschließlich der UK und EU General Data Protection Regulation” lag, reagierten einige verärgert auf Twitter, dass es über zwei Monate gedauert hatte, um Kunden zu benachrichtigen.

Es ist unklar, wann die Datenschutzbehörde über den Vorfall informiert wurde, aber nach der GDPR muss dies innerhalb von 72 Stunden nach der Entdeckung eines Verstoßes geschehen.

FatFace behauptet in der E-Mail, dass es so lange gedauert hat, um zu benachrichtigen, da es versucht hat, “die genauesten Informationen zu liefern”, was genommen wurde und wer betroffen war.

Die Kunden waren auch verärgert, dass die von CEO Liz Evans unterzeichnete E-Mail keine formelle Entschuldigung für den Vorfall enthielt, sondern den Empfänger aufforderte, “diese E-Mail und die darin enthaltenen Informationen streng privat und vertraulich zu behandeln.”

Hunt bezeichnete das Rundschreiben als “irreführend”. Zum Beispiel, obwohl die Mitteilung sagt, dass es kein finanzielles Risiko für Kunden durch die Kompromittierung von Teilkartendaten gibt, werden solche Daten oft zur Identitätsüberprüfung verwendet, bemerkte er.

“Es fühlt sich so an, als ob die Firma ihre Sicherheitsvorkehrungen selbst im Angesicht einer Sicherheitsverletzung betont und die Schwere des Vorfalls herunterspielt, gefolgt von der Erkenntnis, dass ein Schutz vor Identitätsdiebstahl eine gute Idee wäre. Ich würde es eine 5/10 für Qualität Offenlegung Bekanntmachung geben”, sagte er auf Twitter.

“Oh, und der Betreff der Offenlegungs-E-Mail lautete ‘Streng privat und vertraulich – Hinweis auf Sicherheitsvorfall’ – warum? Sie enthielt keine PII außer der Adresse des Empfängers, warum ist eine Benachrichtigung über eine Sicherheitsverletzung ‘streng privat und vertraulich?’ Das ist wirklich seltsam.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com