Инсайдеры наносят очередной удар: инцидент в Shopify

Инсайдерские атаки знакомы человечеству с давних пор. Люди всегда пытались извлечь выгоду из чужих секретов. Если раньше это касалось отдельных личностей, то с развитием торговли и особенно интернета проблема инсайдерских атак начала затрагивать крупные компании и даже целые государства. Одна из инсайдерских атак недавно произошла в Shopify, платформе для онлайн-магазинов, которая используется по всему миру

22 сентября представители e-commerce платформы Shopify, которая позволяет создавать собственные интернет-магазины, сообщили о краже данных клиентов сервиса двумя сотрудниками службы поддержки. Сотрудники, по словам представителей Shopify, имели возможность получать записи транзакций клиентов магазинов, размещённых на платформе. Точное количество пострадавших магазинов не сообщается, но предполагается, что их около двух сотен.

Представители Shopify заявили, что инцидент связан только с человеческим фактором, технических уязвимостей платформы не выявлено и большинство клиентов сервиса всё-таки не пострадали. Однако у магазинов, затронутых происшествием, могли украсть такие данные, как имена клиентов, адреса электронной почты, домашние адреса, а также истории покупок. В Shopify заверили, что такие конфиденциальные данные, как, например, номера платёжных карт, затронуты не были.

Как только обнаружилась проблема, в Shopify сразу же заблокировали доступ в систему недобросовестным сотрудникам и обратились в правоохранительные органы. Также команда Shopify сразу же оповестила пострадавшие магазины.

На данный момент Shopify проводят расследование совместно с ФБР и другими международными агентствами. На данный момент нет признаков, что злоумышленники использовали украденную информацию.

Представители Shopify активно общаются с пострадавшими пользователями, чтобы помочь им разобраться в проблеме и ответить на все вопросы и успокоить. Команда Shopify обещает принять меры, чтобы впредь подобное не случалось.

Проблема инсайдерских атак знакома многим компаниям. Методы борьбы с инсайдерскими сливами тоже разные. Кто-то усиливает контроль за потоками информации, кто-то пытается поднять лояльность сотрудников различными методами. Но если сотрудник захочет «слить» информацию, помешать ему сможет правильно настроенная DLP-система. Потому что нельзя заставить человека расхотеть что-то сделать, а помешать можно.

«Инсайдерские атаки всегда были самыми опасными. Если человек просто так может заполучить конфиденциальную информацию, то и воспользоваться ей не составит труда. Поэтому контролировать доступ сотрудников к подобного рода информации сейчас является чуть ли не самой важной задачей. Вы можете спрятать важные данные в самом защищённом бункере на планете, но какой в этом смысл, если у того, кто хочет её украсть, есть ключ от этого бункера?» — прокомментировал инцидент генеральный директор Falcongaze Александр Акимов.