Южнокорейските регулатори наложиха глоби за общо близо 25 млн. долара на Louis Vuitton, Christian Dior Couture и Tiffany & Co. заради системни пропуски в мерките за киберсигурност. И трите марки са част от групата Louis Vuitton Moet Hennessy (LVMH) и са станали жертва на киберинциденти, довели до неоторизиран достъп и изтичане на данни на над 5.5 млн. клиенти.
Какво установи регулаторът
Според Personal Information Protection Commission (PIPC) атаките са били възможни заради слабо защитени облачни системи за управление на клиенти (SaaS). Нападателите са получили достъп до чувствителна информация, включително имена, телефонни номера, имейли, пощенски адреси и история на покупки.
Случаят Louis Vuitton: зловреден код и липса на базови контроли
При Louis Vuitton компрометирането започва от инфектирано служебно устройство, което отваря път към SaaS платформата и изтичане на данни за 3.6 млн. клиенти. Регулаторът подчертава, че компанията е използвала системата още от 2013 г., но не е ограничила достъпа по IP адреси и не е въвела силна автентикация при външен достъп.
Глоба: 16.4 млн. долара, плюс задължение санкцията да бъде публично оповестена на сайта на компанията.
Dior: фишинг атака и закъсняло разкриване
При Dior пробивът е резултат от фишинг атака срещу служител в обслужването на клиенти, който неволно предоставя достъп до системата. Последиците са сериозни – 1.95 млн. засегнати клиенти.
Разследването показва липса на allow-list политики, ограничения за масово изтегляне на данни и активен мониторинг на логовете, което забавя откриването на инцидента с повече от три месеца.
Допълнително Dior уведомява регулатора пет дни след установяване на пробива, въпреки че законът изисква това да стане в рамките на 72 часа.
Глоба: 9.4 млн. долара.
Tiffany: по-малък обхват, същите грешки
При Tiffany атакуващите използват гласов фишинг (vishing), за да подведат служител и да получат достъп до SaaS системата. Засегнати са около 4 600 клиенти, но регулаторът открива идентични пропуски – липса на IP ограничения, контрол върху масовия достъп и навременно уведомяване на засегнатите.
Глоба: 1.85 млн. долара.
Кой стои зад атаките
Изследователи по сигурността свързват кампанията с групировката ShinyHunters, известна с атаки срещу Salesforce среди. Самите нападатели по-късно публично поемат отговорност за компрометирането на системи, свързани с LVMH.
Ясното послание на регулатора
PIPC е категорична: използването на SaaS решения не освобождава организациите от отговорност за защитата на личните данни. Отговорността не може да бъде прехвърлена върху доставчика на услугата – компаниите трябва да прилагат адекватни технически и организационни мерки, независимо къде се хостват данните.
Защо този случай е важен и за други бизнеси
Този казус е показателен за по-широк проблем:
-
Облакът не е автоматично сигурен
-
Човешкият фактор остава най-слабата брънка
-
Липсата на базови контроли може да струва милиони и сериозен репутационен удар
За компаниите в луксозния сектор – и не само – това е предупреждение, че киберсигурността е неразделна част от доверието на клиентите, а регулаторите вече не приемат оправдания.
