[[427536]]

總部位于達拉斯的Neiman Marcus集團一直是作為高富帥們的首選奢侈品牌商而聞名全球。但是，他們之前以優質的質量而享有的的聲譽受到了很大的打擊，因為有消息稱該公司的網絡早在2020年5月就被攻擊者攻破了。

過了17個月，零售商才注意到這一點。

就在本周，Neiman Marcus承認了這一漏洞的存在，此次泄露的信息包括客戶的個人信息，如姓名、聯系信息、支付卡信息(無CVV碼)、禮品卡號碼(無PIN碼)、用戶名、密碼，甚至還有與Neiman Marcus在線賬戶相關的安全問題。

未被發現的漏洞對客戶很危險

但安全專家說，Neiman Marcus公司采取保護措施已經太晚了，而且該未經授權的訪問漏洞使目前的情況更加嚴峻。

該漏洞發生在2020年9月Neiman Marcus申請破產之前，這可能會導致網絡攻擊很難被識別出，從安全的角度來看，一家公司這么長時間都沒有發現和修補一個漏洞是非常危險的。該漏洞可能已經造成了更多尚未被發現的危害。而且攻擊者很可能會把系統的訪問權賣給其他人，這樣可以便于日后進行訪問。

盡管現在大多數被盜的信用卡和禮品卡不包含個人身份識別碼和CVV等數據，而且這些可能已經過期了，但用戶名和密碼信息被盜確實很令人擔憂。這些數據更有可能會被賣給其他攻擊者，他們可以利用這些數據與其他被盜的個人信息一起進行犯罪，如身份盜竊等。

他還說，現在很難找到任何關于該漏洞的直接證據，因為自最初泄露以來已經過去了這么長時間了。

研究人員認為，關鍵證據現在很可能已經不在他們的系統中了，他們現在很難確定最初的入侵點，攻擊者曾經進入到了其他的哪些領域，攻擊者除了竊取數據之外還做了什么。所有的這些要點對于一個組織來說都是至關重要的，這樣可以通知受影響的各個部門進行調整，防止在以后再次出現這種情況，還可以提供關鍵證據給執法部門進一步開展刑事調查。

許多機構的安全保障情況令人很震驚

安全研究人員認為，現在許多組織缺乏預防和檢測能力，這簡直令人很吃驚。我們應該盡可能地避免指責受害者，但在許多情況下，企業在保護客戶數據安全方面存在嚴重的疏忽。

而且在許多次違規事件中，攻擊者很容易就可以得到他們的客戶數據。

盡管在新聞中一直在把攻擊者或者攻擊方法描述的非常復雜，但現實情況是，大多數漏洞的利用并不像是一些電影情節中演示的'網絡攻擊情節'，而是類似于一些人走進前門，趁著周圍沒有人注意，直接對一個文件柜進行盜竊這樣簡單。

Neiman Marcus的安全團隊應該假定攻擊者自2020年5月以來就一直潛伏在其系統中。并且該企業應該采取更強的安全策略。

今天，網絡上成熟的零售商都在依靠人工智能來處理從信用欺詐到供應物流的一切問題，當然，這也要不斷監測他們在全球分布的網絡和復雜的數字基礎設施中的風險，隨著像Neiman Marcus這樣的零售商正在不斷的適應一個更加虛擬的世界，并支持更加新穎的遠程購物方式(如其最近宣布的虛擬運動鞋陳列室)，我們預期針對該行業的攻擊會增加。這些創新為攻擊者打開了更多的渠道，讓他們可以窺探訪問消費者的私人數據。企業有責任確保其消費者的個人數據可以得到最好的防御和保護。

目前，Neiman Marcus要求顧客重新設置密碼，并為那些擔心自己的信息被泄露的人設立了服務中心。

安全專家認為，零售商在道德和法律方面都有義務保護客戶數據。他們有義務保護這些敏感的客戶數據的安全，使其不被犯罪分子所竊取。

本文翻譯自：https://threatpost.com/neiman-marcus-customers-breach/175284/如若轉載，請注明原文地址。