根据来自安全部门的信息,去年年底臭名昭著的Target安全漏洞暴露了数千万美国人的财务和个人信息,这是该公司未能将其日常运营和维护功能与关键支付功能保持在单独的网络上的结果研究人员Brian Krebs,他在12月首次报告了这一漏洞。
Target上周向 《华尔街日报》 透露,其最初的网络违规行为可追溯到从第三方供应商那里窃取的登录信息。 克雷布斯先生现在报告说,有争议的供应商是宾夕法尼亚州夏普斯堡的Fazio Mechanical Services,该公司与Target签订了合同,提供制冷和HVAC的安装和维护。 法齐奥(Fazio)总裁罗斯·法齐奥(Ross Fazio)确认,作为调查的一部分,美国特勤局曾对该公司进行了访问,但尚未就所报告的分配给其员工的登录凭证涉及作出任何公开声明。
Fazio员工被授予远程访问Target网络的权限,以监控诸如能源使用和制冷温度之类的参数。 但是由于据报道Target未能对其网络进行分段,这意味着知识渊博的黑客可以使用这些相同的第三方远程凭据来访问零售商的敏感销售点(POS)服务器。 仍不为人所知的黑客利用此漏洞将恶意软件上传到Target的大多数POS系统,然后捕获了在11月下旬至12月中旬在商店购物的多达7000万客户的付款和个人信息。
这一发现使人们对目标公司高管将该事件的特征描述为一次复杂而未曾预料到的网络盗窃行为产生了怀疑。 尽管上载的恶意软件确实非常复杂,并且Fazio员工因盗窃登录凭据而应承担责任,但事实仍然是,如果Target遵循安全准则并对其网络进行分段以保持付款服务器隔离,则任何一种情况都将受到质疑。来自允许相对广泛访问的网络。
安全公司FireMon的创始人兼首席技术官乔迪·巴西(Jody Brazil)向《 计算机世界 》( Computerworld) 解释说:“没有什么特别的。 Target选择允许第三方访问其网络,但未能正确保护该访问。”
如果其他公司不能从Target的错误中吸取教训,则消费者可以期望会有更多的违规行为发生。 风险管理公司BitSight的首席技术官兼联合创始人斯蒂芬·博耶(Stephen Boyer)解释说:“在当今的超网络世界中,公司正在与越来越多的业务合作伙伴合作,这些业务伙伴的功能包括付款收集和处理,制造,IT和人力资源。 黑客发现获取敏感信息的最薄弱的切入点,而且通常是在受害者的生态系统内。”
尚未发现Target违反了支付卡行业(PCI)的安全标准,但一些分析师预见到该公司的未来会遇到麻烦。 尽管强烈推荐使用PCI标准,但这些标准并不要求组织将其网络划分为支付功能和非支付功能,但是对于Target的第三方访问是否利用两因素身份验证仍然存在一些疑问。 违反PCI标准可能导致高额罚款,Gartner分析师Avivah Litan告诉Krebs,该公司可能面临高达4.2亿美元的罚款。
政府也已开始采取行动以应对违规行为。 奥巴马政府本周建议通过更严格的网络安全法,既要对违法者施加更严厉的处罚,又要对联邦政府要求公司在安全漏洞遭到破坏后通知客户并遵守某些有关网络数据政策的最低实践进行规定。
