有关信用卡信息泄露的常见问题

我们总结了以下有关“关于未经授权访问我们网站导致信用卡信息泄露的致歉及通知”的常见问题。

Q) 可能出现泄漏的期间是2020年11月27日至2020年12月9日。如果我在其他期间付款可以吗？

A) 我们正在由第三方调查机构进行调查。除上述期间发生的195笔信用卡付款外，不存在泄漏的可能性。请放心吧。如果您有任何疑问，请随时通过咨询台与我们联系。此外，当我们分析实际遭受欺诈的客户的购买日期时，我们发现它集中在12/2、12/3、12/4、12/8和12/9购买的客户。

Q) 我将来可以安全地使用它吗？

A) 我们严肃对待这一情况，并已按照第三方调查组织的指示采取了一切必要措施来提高安全性。我们将继续努力提高安全性，尽最大努力重新获得客户的信任。

问）花了很多时间来应对未经授权的使用、重新发行卡和进行更改。难道就没有某种补偿吗？

A) 正如正文中所解释的，我们将承担所有盗用和换卡费用，但对于给客户带来的任何不便，我们深表歉意，对此造成的不便，我们再次表示歉意。我们期待您的来信，了解我们未来可能采取的任何措施。感谢您的理解。

Q) 最初发现于2020年12月9日，公告于2021年3月29日发布。为什么公告延迟了这么久？

A) 我们一直在与信用卡公司和研究公司全天候沟通，目的是尽快联系客户，但目前无法联系到您，我们深表歉意。我们一直在与信用卡公司进行讨论，但为了避免不必要的混乱，我们一直无法联系他们。现在，只有在第三方调查机构完成调查并且信用卡公司确认问题后，我们才能通知客户。

问）请告诉我们您迄今为止已实施的安全改进措施。

A) 我们已采取以下措施，防止今后再次发生类似事件。
・除了立即修复文件上传功能中的漏洞外，我们还启用了 SELinux，以提高防篡改方面的安全性。 （2020年12月）
- 我们已将服务器环境迁移到由最新操作系统/中间件组成的安全公共云环境。 （2020年12月）
・我们引入了功能强大的防火墙（WAF），并采取了阻止未经授权的访问和攻击的措施。 （2021 年 1 月）
- 引入了服务器环境和管理工具的两步验证。 （2021 年 2 月）
・我们在服务器上安装了防病毒软件并定期进行病毒格纹。 （2021 年 2 月）
・我们定期应用关键操作系统/中间件级别的补丁。 （2021 年 3 月）
-引入FIM（文件完整性监控）解决方案来检测文件篡改。 （2021 年 4 月）
・除上述以外，我们还实施了各种安全改进措施。

Q) 请告诉我们您未来计划实施的安全改进措施。

A) 我们计划在第三方研究机构和安全专业公司的指导下实施以下措施。
・由安全专业公司定期进行安全诊断。
・定期实施内部漏洞评估。
・使用SIEM（安全信息和事件管理）长期存储日志 ・除上述之外，我们将继续采取措施来提高系统的稳健性。

问）您是否在服务器上存储了信用卡信息（卡号、有效期、安全绳子）？

答）不。我们使用 Stripe 提供的符合 PCI-DSS 的非传递（JavaScript 类型）支付服务，并且我们的服务器上不会存储任何客户信用卡信息。在这次攻击中，通过更改支付页面，放置了一个与原始信用卡输入表单非常相似的类似输入表单，按下支付纽扣时输入的信息被传输到攻击者的网站。转发给。

问）我的信用卡信息可能已被泄露意味着什么？有没有可能没有泄露？

A) 我们无法确认任何信息确实已传输到攻击者的站点，但我们正在继续执行该程序，作为攻击文件存在于服务器上期间用于付款的所有卡的可能性。马苏。因此，在此期间付款的客户有可能实际上并未违规。当我们分析实际遭受欺诈的客户的购买日期时，我们发现，欺诈行为主要集中在12/2、12/3、12/4、12/8和12/9购买的客户。伪造的表格有可能在其他时期被撤回（*这实际上已被本公司证实）。

问）如果发生未经授权的使用，我将如何获得赔偿？另外，换卡需要收费吗？

A) 您将不承担与此事件相关的任何费用。正如报告正文所述，请检查您的信用卡详细信息，如果有任何未经授权的使用，请务必联系您的信用卡公司。

Q) ApparelX会继续提供服务吗？

A) 我们严肃对待这一情况，并已按照第三方调查组织的指示采取了一切必要措施来提高安全性。我们将继续努力提高安全性，尽最大努力重新获得客户的信任。

问）我想取消订阅ApparelX并删除所有信息。

A) 请在“我的帐户”中的帐户删除中删除您的帐户信息。我们网站上存储的所有信息都将被删除。

问）你们什么时候恢复接受信用卡付款？

A) 我们目前正在与支付处理公司进行讨论。恢复营业后，我们将在网站上发布公告。 （4/28添加）在获得各卡公司的批准后，我们​​于2021年4月28日恢复了信用卡付款。