我们总结了以下有关“关于未经授权访问我们网站导致信用卡信息泄露的致歉及通知”的常见问题。
Q) 可能出现泄漏的期间是2020年11月27日至2020年12月9日。如果我在其他期间付款可以吗?
A) 我们正在由第三方调查机构进行调查。除上述期间发生的195笔信用卡付款外,不存在泄漏的可能性。请放心吧。如果您有任何疑问,请随时通过咨询台与我们联系。此外,当我们分析实际遭受欺诈的客户的购买日期时,我们发现它集中在12/2、12/3、12/4、12/8和12/9购买的客户。
Q) 我将来可以安全地使用它吗?
A) 我们严肃对待这一情况,并已按照第三方调查组织的指示采取了一切必要措施来提高安全性。我们将继续努力提高安全性,尽最大努力重新获得客户的信任。
问)花了很多时间来应对未经授权的使用、重新发行卡和进行更改。难道就没有某种补偿吗?
A) 正如正文中所解释的,我们将承担所有盗用和换卡费用,但对于给客户带来的任何不便,我们深表歉意,对此造成的不便,我们再次表示歉意。我们期待您的来信,了解我们未来可能采取的任何措施。感谢您的理解。
Q) 最初发现于2020年12月9日,公告于2021年3月29日发布。为什么公告延迟了这么久?
A) 我们一直在与信用卡公司和研究公司全天候沟通,目的是尽快联系客户,但目前无法联系到您,我们深表歉意。我们一直在与信用卡公司进行讨论,但为了避免不必要的混乱,我们一直无法联系他们。现在,只有在第三方调查机构完成调查并且信用卡公司确认问题后,我们才能通知客户。
问)请告诉我们您迄今为止已实施的安全改进措施。
A) 我们已采取以下措施,防止今后再次发生类似事件。
・除了立即修复文件上传功能中的漏洞外,我们还启用了 SELinux,以提高防篡改方面的安全性。 (2020年12月)
- 我们已将服务器环境迁移到由最新操作系统/中间件组成的安全公共云环境。 (2020年12月)
・我们引入了功能强大的防火墙(WAF),并采取了阻止未经授权的访问和攻击的措施。 (2021 年 1 月)
- 引入了服务器环境和管理工具的两步验证。 (2021 年 2 月)
・我们在服务器上安装了防病毒软件并定期进行病毒格纹。 (2021 年 2 月)
・我们定期应用关键操作系统/中间件级别的补丁。 (2021 年 3 月)
-引入FIM(文件完整性监控)解决方案来检测文件篡改。 (2021 年 4 月)
・除上述以外,我们还实施了各种安全改进措施。
Q) 请告诉我们您未来计划实施的安全改进措施。
A) 我们计划在第三方研究机构和安全专业公司的指导下实施以下措施。
・由安全专业公司定期进行安全诊断。
・定期实施内部漏洞评估。
・使用SIEM(安全信息和事件管理)长期存储日志 ・除上述之外,我们将继续采取措施来提高系统的稳健性。
问)您是否在服务器上存储了信用卡信息(卡号、有效期、安全绳子)?
答)不。我们使用 Stripe 提供的符合 PCI-DSS 的非传递(JavaScript 类型)支付服务,并且我们的服务器上不会存储任何客户信用卡信息。在这次攻击中,通过更改支付页面,放置了一个与原始信用卡输入表单非常相似的类似输入表单,按下支付纽扣时输入的信息被传输到攻击者的网站。转发给。
问)我的信用卡信息可能已被泄露意味着什么?有没有可能没有泄露?
A) 我们无法确认任何信息确实已传输到攻击者的站点,但我们正在继续执行该程序,作为攻击文件存在于服务器上期间用于付款的所有卡的可能性。马苏。因此,在此期间付款的客户有可能实际上并未违规。当我们分析实际遭受欺诈的客户的购买日期时,我们发现,欺诈行为主要集中在12/2、12/3、12/4、12/8和12/9购买的客户。伪造的表格有可能在其他时期被撤回(*这实际上已被本公司证实)。
问)如果发生未经授权的使用,我将如何获得赔偿?另外,换卡需要收费吗?
A) 您将不承担与此事件相关的任何费用。正如报告正文所述,请检查您的信用卡详细信息,如果有任何未经授权的使用,请务必联系您的信用卡公司。
Q) ApparelX会继续提供服务吗?
A) 我们严肃对待这一情况,并已按照第三方调查组织的指示采取了一切必要措施来提高安全性。我们将继续努力提高安全性,尽最大努力重新获得客户的信任。
问)我想取消订阅ApparelX并删除所有信息。
A) 请在“我的帐户”中的帐户删除中删除您的帐户信息。我们网站上存储的所有信息都将被删除。
问)你们什么时候恢复接受信用卡付款?
A) 我们目前正在与支付处理公司进行讨论。恢复营业后,我们将在网站上发布公告。 (4/28添加)在获得各卡公司的批准后,我们于2021年4月28日恢复了信用卡付款。