Catégorie
Fabricant
Style
Matériel
Collection
Éléments récemment consultés
Articles populaires
CatégorieFabricantStyleMatérielCollectionÉléments récemment consultés
Articles populaires
Nous avons résumé ci-dessous les questions fréquemment posées concernant les « Excuses et avis concernant la fuite d'informations de carte de crédit en raison d'un accès non autorisé à notre site ».
Q) La période pendant laquelle il y a une possibilité de fuite est du 27 novembre 2020 au 9 décembre 2020. Est-il acceptable si j'ai effectué un paiement pendant une période autre que celle-là ?
A) Nous menons une enquête par un organisme d'enquête tiers. Il n’y a aucune possibilité de fuite autre que les 195 paiements par carte de crédit effectués au cours de la période ci-dessus. Soyez assuré. Si vous avez des questions, n'hésitez pas à nous contacter au bureau de renseignements. De plus, lorsque nous avons analysé les dates d'achat des clients ayant réellement été victimes d'une utilisation frauduleuse, nous avons constaté que celle-ci était concentrée parmi les clients ayant effectué des achats le 12/2, le 12/3, le 12/4, le 12/8 et le 12/9.
Q) Pourrai-je l’utiliser en toute sécurité à l’avenir ?
A) Nous prenons cette situation au sérieux et avons mis en œuvre toutes les mesures nécessaires pour améliorer la sécurité conformément aux instructions d'un organisme d'enquête tiers. Nous continuerons à nous efforcer d’améliorer la sécurité et ferons de notre mieux pour regagner la confiance de nos clients.
Q) Il a fallu beaucoup de temps pour répondre à une utilisation non autorisée, réémettre des cartes et apporter des modifications. N'y a-t-il pas une sorte de compensation ?
A) Comme expliqué dans le texte principal, nous prendrons en charge tous les frais d'utilisation frauduleuse et de remplacement de la carte, mais nous nous excusons profondément pour tout inconvénient causé à nos clients. Je tiens à m'excuser une fois de plus pour la gêne occasionnée. Nous sommes impatients de vous entendre concernant les mesures futures que nous pourrions prendre. Merci pour votre compréhension.
Q) La découverte initiale a eu lieu le 9 décembre 2020 et l'annonce a été faite le 29 mars 2021. Pourquoi l'annonce a-t-elle été si longtemps retardée ?
A) Nous communiquons 24 heures sur 24 avec les sociétés de cartes de crédit et les sociétés de recherche dans le but de contacter les clients le plus rapidement possible, mais nous nous excusons de ne pas pouvoir vous contacter pour le moment. . Nous avons eu des discussions avec la société émettrice de la carte de crédit, mais pour éviter toute confusion inutile, nous n'avons pas pu la contacter. Nous sommes désormais en mesure d'informer nos clients uniquement une fois que l'organisme d'enquête tiers a terminé son enquête et que les sociétés émettrices de cartes de crédit ont confirmé le problème.
Q) Veuillez nous parler des mesures d'amélioration de la sécurité que vous avez mises en œuvre jusqu'à présent.
A) Nous avons pris les mesures suivantes pour éviter qu'un incident similaire ne se reproduise à l'avenir.
・En plus de corriger immédiatement la vulnérabilité dans la fonction de téléchargement de fichiers, nous avons également permis à SELinux d'améliorer la sécurité concernant la prévention des falsifications. (décembre 2020)
- Nous avons migré notre environnement de serveur vers un environnement de cloud public sécurisé composé du dernier système d'exploitation/middleware. (décembre 2020)
・Nous avons introduit un pare-feu hautement fonctionnel (WAF) et avons pris des mesures pour bloquer les accès non autorisés et les attaques. (janvier 2021)
-Introduction de l'authentification en deux étapes pour l'environnement serveur et les outils de gestion. (février 2021)
・Nous avons installé un logiciel antivirus sur nos serveurs et effectuons régulièrement des contrôles antivirus. (février 2021)
・Nous appliquons régulièrement des correctifs critiques au niveau du système d'exploitation/middleware. (mars 2021)
-Introduction de la solution FIM (File Integrity Monitoring) pour détecter la falsification de fichiers. (avril 2021)
・En plus de ce qui précède, nous avons mis en œuvre diverses mesures d'amélioration de la sécurité.
Q) Veuillez nous parler des mesures d'amélioration de la sécurité que vous envisagez de mettre en œuvre à l'avenir.
A) Nous prévoyons de mettre en œuvre les mesures suivantes sous la direction d'un organisme de recherche tiers et d'une société spécialisée en sécurité.
・Diagnostic de sécurité périodique par une entreprise spécialisée en sécurité.
・Mise en œuvre périodique d'évaluations de vulnérabilité internes.
・Stockage à long terme des journaux à l'aide de SIEM (Security Information and Event Management) ・En plus de ce qui précède, nous continuerons à mettre en œuvre des mesures pour améliorer la robustesse de nos systèmes.
Q) Avez-vous stocké les informations de carte de crédit (numéro de carte, date d'expiration, cordon de sécurité) sur le serveur ?
A) Non. Nous utilisons un service de paiement sans passage (type JavaScript) conforme à la norme PCI-DSS fourni par Stripe, et aucune information de carte de crédit du client n'est stockée sur nos serveurs. Dans cette attaque, en modifiant la page de paiement, un formulaire de saisie similaire a été placé, très semblable au formulaire de saisie de carte de crédit d'origine, et les informations saisies au moment où le bouton de paiement a été enfoncé ont été transférées vers le site Web de l'attaquant. Il a été conçu pour être transmis.
Q) Qu'est-ce que cela signifie que les informations de ma carte de crédit peuvent avoir été compromises ? Y a-t-il une possibilité qu'il n'y ait pas eu de fuite ?
A) Nous n'avons pas pu confirmer qu'aucune information ait été effectivement transférée vers le site de l'attaquant, mais nous poursuivons la procédure comme une possibilité pour toutes les cartes qui ont été utilisées pour le paiement pendant la période où le fichier d'attaque existait sur le serveur. Masu. Il est donc possible que les clients ayant effectué des paiements au cours de cette période n’aient pas été victimes d’une violation. Lorsque nous avons analysé les dates d'achat des clients ayant effectivement subi une utilisation frauduleuse, nous avons constaté que celle-ci était concentrée parmi les clients ayant effectué des achats le 12/2, le 12/3, le 12/4, le 12/8 et le 12/9. Il est possible que le faux formulaire ait été retiré à d'autres périodes (*Ceci a en fait été confirmé par notre société).
Q) Comment serai-je remboursé en cas d'utilisation non autorisée ? De plus, le remplacement de la carte sera-t-il facturé ?
A) Vous ne serez pas responsable des frais engagés en relation avec cet incident. Comme indiqué dans le texte principal du rapport, veuillez vérifier les détails de votre carte de crédit et assurez-vous de contacter votre société de carte de crédit en cas d'utilisation non autorisée.
Q) ApparelX continuera-t-il à fournir des services ?
A) Nous prenons cette situation au sérieux et avons mis en œuvre toutes les mesures nécessaires pour améliorer la sécurité conformément aux instructions d'un organisme d'enquête tiers. Nous continuerons à nous efforcer d’améliorer la sécurité et ferons de notre mieux pour regagner la confiance de nos clients.
Q) Je souhaite me désinscrire de ApparelX et supprimer toutes les informations.
A) Veuillez supprimer les informations de votre compte lors de la suppression du compte dans Mon compte. Toutes les informations stockées sur notre site seront supprimées.
Q) Quand recommencerez-vous à accepter les paiements par carte de crédit ?
A) Nous sommes actuellement en discussions avec la société de traitement des paiements. Nous ferons une annonce sur le site Internet lors de notre réouverture. (Ajouté le 28/04) Après avoir reçu l'approbation de chaque société émettrice de cartes, nous avons repris les paiements par carte de crédit le 28/04/2021.
