Perguntas frequentes sobre vazamento de informações de cartão de crédito

Resumimos abaixo as perguntas mais frequentes sobre " Desculpas e notificação sobre vazamento de informações de cartão de crédito devido ao acesso não autorizado ao nosso site ".

P) O período em que há possibilidade de vazamento é de 27 de novembro de 2020 a 9 de dezembro de 2020. Tudo bem se eu efetuar o pagamento em período diferente desse?

A) Estamos conduzindo uma investigação por uma organização de investigação terceirizada. Não há possibilidade de vazamento além dos 195 pagamentos com cartão de crédito feitos durante o período acima. Por favor tenha certeza. Se você tiver alguma dúvida, não hesite em nos contatar no balcão de perguntas. Além disso, ao analisarmos as datas de compra dos clientes que efetivamente vivenciaram uso fraudulento, constatamos que ela se concentrou entre os clientes que realizaram compras nos dias 02/12, 03/12, 04/12, 08/12 e 09/12.

P) Poderei usá-lo com segurança no futuro?

R) Levamos esta situação a sério e implementamos todas as medidas necessárias para melhorar a segurança, conforme instruído por uma organização de investigação terceirizada. Continuaremos a nos esforçar para melhorar a segurança e fazer o nosso melhor para reconquistar a confiança de nossos clientes.

P) Demorou muito para responder ao uso não autorizado, reemitir cartões e fazer alterações. Não existe algum tipo de compensação?

A) Conforme explicado no texto principal, arcaremos com todos os custos de uso fraudulento e substituição do cartão, mas pedimos desculpas por qualquer transtorno causado aos nossos clientes. Gostaria de pedir desculpas mais uma vez pelo transtorno. Aguardamos seu contato sobre quaisquer medidas futuras que possamos tomar. Obrigado pela sua compreensão.

P) A descoberta inicial foi em 9 de dezembro de 2020 e o anúncio foi feito em 29 de março de 2021. Por que o anúncio foi adiado tanto?

A) Temos nos comunicado com empresas de cartão de crédito e empresas de pesquisa 24 horas por dia com o objetivo de entrar em contato com os clientes o mais rápido possível, mas pedimos desculpas por não poder contatá-lo neste momento. . Estivemos conversando com a administradora do cartão de crédito, mas para evitar confusões desnecessárias, não conseguimos contatá-la. Agora podemos notificar nossos clientes somente depois que a organização de investigação terceirizada concluir a investigação e as empresas de cartão de crédito confirmarem o problema.

Q) Conte-nos sobre as medidas de melhoria de segurança que você implementou até agora.

A) Tomamos as seguintes medidas para evitar que um incidente semelhante ocorra novamente no futuro.
・Além de corrigir imediatamente a vulnerabilidade na função de upload de arquivos, também permitimos que o SELinux melhorasse a segurança em relação à prevenção de adulteração. (dezembro de 2020)
- Migramos nosso ambiente de servidor para um ambiente de nuvem pública seguro que consiste no sistema operacional/middleware mais recente. (dezembro de 2020)
・Introduzimos um firewall altamente funcional (WAF) e tomamos medidas para bloquear acessos e ataques não autorizados. (janeiro de 2021)
-Introduziu autenticação em duas etapas para o ambiente de servidor e ferramentas de gerenciamento. (fevereiro de 2021)
・Instalamos software antivírus em nossos servidores e realizamos verificações regulares de vírus. (fevereiro de 2021)
・Aplicamos regularmente patches críticos de nível de sistema operacional/middleware. (março de 2021)
-Introduziu a solução FIM (File Integrity Monitoring) para detectar adulteração de arquivos. (abril de 2021)
・Além do acima exposto, implementamos várias medidas de melhoria de segurança.

Q) Conte-nos sobre as medidas de melhoria de segurança que você planeja implementar no futuro.

A) Planejamos implementar as seguintes medidas sob a orientação de uma organização de pesquisa terceirizada e de uma empresa especializada em segurança.
・Diagnóstico periódico de segurança por empresa especializada em segurança.
・Implementação periódica de avaliações de vulnerabilidade interna.
・Armazenamento de logs a longo prazo usando SIEM (Security Information and Event Management) ・Além do acima exposto, continuaremos a implementar medidas para melhorar a robustez dos nossos sistemas.

P) Você armazenou informações de cartão de crédito (número do cartão, data de validade, cordão de segurança) no servidor?

R) Não. Usamos um serviço de pagamento sem passagem (tipo JavaScript) compatível com PCI-DSS fornecido pela Stripe, e nenhuma informação de cartão de crédito do cliente é armazenada em nossos servidores. Neste ataque, ao alterar a página de pagamento, foi colocado um formulário de entrada semelhante, muito parecido com o formulário de entrada do cartão de crédito original, e as informações inseridas no momento em que o botão de pagamento foi pressionado foram transferidas para o site do invasor. Ele foi projetado para ser encaminhado.

P) O que significa que as informações do meu cartão de crédito podem ter sido comprometidas? Existe a possibilidade de não ter vazado?

A) Não conseguimos confirmar se alguma informação foi efetivamente transferida para o site do invasor, mas estamos prosseguindo com o procedimento como possibilidade para todos os cartões que foram utilizados para pagamento durante o período em que o arquivo do ataque existia no servidor. Masu. Portanto, existe a possibilidade de os clientes que efetuaram pagamentos nesse período não terem sido de fato violados. Ao analisarmos as datas de compra dos clientes que efetivamente vivenciaram o uso fraudulento, constatamos que ela se concentrou entre os clientes que realizaram compras nos dias 02/12, 03/12, 04/12, 08/12 e 09/12. Existe a possibilidade de o formulário falso ter sido retirado em outros períodos (*Isso foi confirmado pela nossa empresa).

P) Como serei reembolsado em caso de uso não autorizado? Além disso, haverá cobrança pela substituição do cartão?

A) Você não será responsável por quaisquer custos incorridos em conexão com este incidente. Conforme indicado no texto principal do relatório, verifique os detalhes do seu cartão de crédito e entre em contato com a administradora do cartão de crédito se houver algum uso não autorizado.

P) A ApparelX continuará a fornecer serviços?

R) Levamos esta situação a sério e implementamos todas as medidas necessárias para melhorar a segurança, conforme instruído por uma organização de investigação terceirizada. Continuaremos a nos esforçar para melhorar a segurança e fazer o nosso melhor para reconquistar a confiança de nossos clientes.

Q) Gostaria de cancelar a assinatura do ApparelX e excluir todas as informações.

A) Exclua as informações da sua conta da exclusão da conta em Minha conta. Todas as informações armazenadas em nosso site serão excluídas.

P) Quando você voltará a aceitar pagamentos com cartão de crédito?

R) Estamos atualmente em negociações com a empresa de processamento de pagamentos. Faremos um comunicado no site quando reabrirmos. (Adicionado em 28/04) Após receber a aprovação de cada administradora de cartão, retomamos os pagamentos com cartão de crédito em 28/04/2021.