TJX, wielka firma dystrybucji i handlu detalicznego i dotychczas najwi?ksza ofiara kradzie?y danych osobowo-finansowych, zawar?a ugod? s?dow? z poszkodowanymi, pod wodz? banków-emitentów kart. Zobaczmy, jak wygl?da strona finansowa tej - przyznajmy to - do?? ?a?osnej wpadki.
 

W?amywacze u?yli w jednym ze sklepów sieci bezprzewodowego sniffera danych punktu dost?powego wi-fi lokalnej sieci, do której pod??czono tak?e terminale p?atnicze. Dzi?ki temu zdobyli w ci?gu kilku tygodni bez du?ego wysi?ku dane tysi?cy kart, którymi dokonywano transakcji. Posun?li si? dalej: z?amali s?abe szyfrowanie dost?pu (mo?na to zrobi? w czasie ok. minuty) i sprokurowali sobie dost?p do konta administratora, dzi?ki czemu metodycznie ?ci?gn?li przez internet baz? danych finansowych z systemu rozlicze?, licz?c? niespe?na 47 milionów klientów!

Zako?czony audyt zwi?zku banków, który zapewne pos?u?y? jako opinia rzeczoznawcy do ugody wykaza? karygodne b??dy w konfiguracji systemu IT w sklepach TJX. Dane osobowe z transakcji by?y bez potrzeby transmitowane poprzez sie? (bezprzewodow?), nie by?y szyfrowane, sie? wi-fi mia?a anachroniczne zabezpieczenia, dane by?y niepotrzebnie archiwizowane na miejscu, a nast?pnie -bez uzasadnienia- mo?na je by?o ?ci?ga? przez internet.

W opinii fachowcy bankowcy pisz? wprost: wyciek danych w sklepie TJX mo?na by?o przewidzie?, bowiem suma b??dów systemowych czyni?a go spraw? czasu, a ju? nawet nie przypadku.

W nast?pstwie w?amania i kradzie?y danych z?apano cz?onków kilku grup, produkuj?cych i rozprowadzaj?cych fa?szywe karty, a tak?e handluj?cych danymi i wy?udzaj?ch z ich u?yciem towary i us?ugi. Bezpo?rednie straty z tego tytu?u wynosz? kilka milionów. W?ród zatrzymanych wyró?nia si? posta? Siergieja Jastrz?bskiego, z?apanego w nocnym klubie nad Morzem Czarnym (Ukraina) w trakcie upojnej zabawy.

Pocz?tkowe nieporadne zachowanie sieci w obliczu realnego zagro?enia reputacji i strat wtórnych pozwala?o przypuszcza?, ?e ca?o?ciowy szacunek strat mo?e doj?? do sumy miliarda dolarów. Porównajmy to z zawart? pod przewodnictwem - i pod dyktando - banków ugod?.

TJX zapewnia trzyletni monitoring kredytowy klientom, których wra?liwe dane - numer ubezpieczenia i prawa jazdy - wykradziono. 455 000 * 30 = 13 650 000 $.
Dodatkowo firma zapewnia ka?demu poszkodowanemu klientowi (skradziony numer karty kredytowej), który wyka?e, ?e straci? czas i pieni?dze, kart? rabatow? o warto?ci 30 $, do zrealizowania w sklepach sieci. Tu koszty oszacowa? trudno, bowiem liczba potencjalnych beneficjentów jest znana (45 700 000), ale po pierwsze nie wiadomo, jaki odsetek zdecyduje si? z tego skorzysta?, ponadto bonus zach?ca do zakupów przewy?szaj?cych jego warto??, bowiem b?d?c ju? w sklepie normalny klient - aby wykorzysta? ca?y bonus - robi zakupy za co najmniej 30 $, ale mo?e to by? 40$, albo 140 $. Spróbujmy oszacowa? to ostro?nie. 45 700 000 * 1% * 15$ = 6 855 000 $. (Jeden procent skorzysta, ?rednia dop?ata 15$)

Adwokaci, którzy przygotowali ugod?, i doprowadzili (mi?dzy sob?) do jej podpisania, otrzymaj? - bagatela - 6,5 miliona.

Zwró?my uwag?, ?e - niezale?nie od powodzenia akcji - TJX bierze ci??ar obci??enia w bie??cy obrót i nie wyci?ga gotówki. Efektywna dop?ata na pewno b?dzie ni?sza od 30 $ (nie wszyscy wykorzystaj? w ca?o?ci), ponadto istnieje spora szansa, ?e zostanie pokryta z mar?y zysku klientów z bonusami, czyli TJX obs?u?y poszkodowanych "po kosztach", generuj?c globalnie wi?kszy obrót (ni?sze koszty jednostkowe). Bardzo korzystnym i po??danym efektem ubocznym ugody jest darmowa reklama, zapewniaj?ca TJX wi?kszy ruch, a to jest najlepsze lekarstwo na "odczarowanie" z?ej renomy. Poszkodowani klienci, którzy przyjd? znowu do sklepu, przez sam ten fakt "zaleczaj?" swoj? uraz? i l?k przed firm?. Skoro mog? przyj?? raz, przyjd? ponownie.

Posumujmy: TJX wychodzi z wpadki ze stratami rz?du 30 milionów, z czego du?a cz??? roz?o?ona jest w czasie i w obrotach firmy. Co najwa?niejsze, ma realne szanse na prze?amanie z?ego wizerunku przez nachaln? reklam?, zwiazan? z rabatami i zako?czenie roku zwi?kszonymi obrotami. Pozostaje zmieni? zdanie na temat zarz?dzania kryzysowego, które jest co prawda kiepskie, ale w TJX podlega marketingowcom, którzy z adwokatami wygrywaj? t? bitw?. TJX mo?e wr?cz na tej po?a?owania godnej wpadce zyskac!

W ramach ugody przez trzy dni TJX zaprasza wszystkich na wyprzeda?: 15% rabatu dla ka?ego. Bezp?atna reklama na pierwszych stronach ju? zagwarantowana... To si? nazywa handel.



TJX: notebook przygotowany, weszli?my w minut?
Bezpiecze?stwo IT, a zachowania klientów
Visa: Kradzie?y danych z karty mo?na zapobiec
Black Hat: Errata do wi-fi, czyli jak chomik z ?asic? ta?cowa?