奢侈品公司Neiman Marcus称460万在线客户受数据泄露影响

总部位于达拉斯的Neiman Marcus Group 表示，它正在通知460万受2020年5月发生的数据泄露影响的在线客户。

泄露的数据包括用户名、密码以及与在线帐户相关联的安全问题和答案。Neiman Marcus 已为自违规以来未更改密码的帐户触发了密码重置。

Neiman Marcus在新闻稿中说，其他泄露的数据各不相同，但可能包括姓名和联系信息。

大约有310万张支付卡和虚拟礼品卡受到影响，但其中 85% 以上的卡要么无效，要么已过期。支付卡号和到期日期被曝光，但 CVV未被曝光，CVV是卡背面的三位数安全代码。礼品卡PIN码没有暴露。

没有使用中的 Neiman Marcus 品牌信用卡受到影响，该公司表示，没有证据表明该集团拥有的相关品牌 Bergdorf Goodman 或 Horchow 的在线账户受到影响。

Neiman Marcus没有对违规发生与公司开始通知受影响者之间的16个月间隔提供解释。一位发言人说，内曼·马库斯 (Neiman Marcus) 是在9 月初意识到这一最新问题的。

它已聘请网络安全公司 Mandiant 进行法医调查。发言人说，内曼·马库斯 (Neiman Marcus) 于周四开始向受影响的人发送电子邮件通知。

过去的违规行为

2013年和2015年，Neiman Marcus 成为攻击者的目标，最近的事件为Neiman Marcus 增添了一段坎坷的历史。

2013年，攻击者在该公司收集支付卡数据的系统上安装了恶意软件。该恶意软件在那一年活跃了大约四个月，它抓取了370,000 张支付卡的数据。大约 9,200 张卡被欺诈使用。

事件发生后，内曼·马库斯面临集体诉讼，并被43个州起诉。它在2019年达成和解，同意支付150万美元。

和解协议还要求Neiman Marcus 确保攻击者无法从其系统中窃取可用的持卡人数据，并使用加密和标记化等技术。还需要确保它符合支付卡行业的数据安全标准或 PCI-DSS，并具有支持EMV的系统，该系统可以处理带有嵌入式微芯片的卡。

2015 年 12 月，攻击者成功入侵了5,200个在线账户，其中约70个用于欺诈性购买。Neiman Marcus于 2017 年 4 月更新了其披露，称攻击者实际上可以完全访问卡号和到期日期。

同样在 2017 年 4 月，Neiman Marcus 披露了当年 1 月的一起事件，该事件影响了 Neiman Marcus 和相关品牌的网站，包括 Bergdorf Goodman、Last Call、CUSP、Horchow 和一个名为 InCircle 的忠诚度计划。这次攻击回收了从其他网站窃取的凭据，并暴露了一些客户的姓名、联系信息、电子邮件地址、购买历史和支付卡号码的最后四位数字。

网络犯罪分子无孔不入，他们为了获得经济利益，在网络中制造麻烦，盗取数据要挟企业支付赎金。尤其随着数字时代的来临，数据已成为社会运转和人们便捷生活重要的基础保障。保护数据安全已成为网络安全的核心任务。美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)调查90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。通过安全可信的代码检测工具检测及修复软件安全漏洞，提高软件安全性已成为网络防护手段的重要补充，同时也成为国际共识。

参读链接：

https://www.inforisktoday.com/neiman-marcus-says-46m-affected-by-data-breach-a-17658