零售连锁店塔吉特(Target)周四证实,该公司遭遇大规模数据泄露,可能有4000万名顾客的支付卡和相关信息被攻击者窃取。
这起事件在昨天由独立保安记者发布的一篇新闻报道中首次曝光布莱恩·克雷布斯根据来源。今天,塔吉特公司证实其确实遭遇了数据泄露,首席执行官格雷格·斯坦因菲尔在一份致客户的声明中道歉,“我们对由此造成的任何不便表示遗憾。”
+也在网络世界:2013年最糟糕的安全混乱|更多信息:Target对客户的声明+
根据塔吉特今天在其网站上对消费者的声明,11月27日至12月15日在美国商店用信用卡或借记卡购物的顾客可能会受到影响。塔吉特在声明中说:“我们一得知此事就开始调查。”“我们已经确定,这起事件涉及的信息包括客户姓名、信用卡或借记卡号码、卡的过期数据和三位数安全代码。”
这家零售商表示,他们正在与一家取证公司合作,调查这起事件,并试图防止今后发生类似事件。
塔吉特告诉客户:“你应该通过定期查看账户对账单和监控免费信用报告,对欺诈和身份盗窃事件保持警惕。”塔吉特表示,任何有疑问的客户都应拨打866-852-8680或访问塔吉特网站。塔吉特在声明中表示,该公司已“迅速采取行动解决这一问题,让顾客可以放心购物。”
塔吉特公司正在与美国特勤局合作,以确定这次大规模数据泄露事件的黑客,但只公开提供了一些线索,说明他们认为这是如何发生的。很自然地,有相当多的猜测来自其他人关于支付卡泄露可能发生的多达4000万客户卡。
“追踪数据”是物理存储在信用卡磁条上的额外敏感数据,除了卡号、有效期和验证码,”Identity Finder的首席隐私官兼总法律顾问亚伦·提图斯(Aaron Titus)说。他认为,尽管黑客可以使用“销售点扫描器”获取塔吉特的支付卡数据,但他怀疑这种情况是否发生。
他说,skimmers是一种物理设备,可以从商店的销售点机器上窃取跟踪数据,并收集跟踪数据。提图斯说:“黑客不太可能在全国的塔吉特商店安装扫描程序。”“目前看来,塔吉特(Target)的集中式卡处理网络很有可能受到了某种恶意软件的攻击,这些恶意软件窃取了跟踪数据,很像2009年哈特兰支付系统(Heartland Payment Systems)的漏洞。”
接受支付卡的商店必须遵循支付卡行业(PCI)数据安全标准规则,Titus表示,这通常能有效防止数据泄露。“Target已经开始了锁定、分析和保护系统的过程,”Titus说,并补充说,PCI合规要求通过发现和分类来管理敏感数据,以帮助识别不完善的业务流程和技术缺陷。
然而,其他人猜测针对塔吉特的是另一种攻击。
高德纳分析师阿维娃·利坦今天在她关于塔吉特黑客入侵的博客中说:“我不太确定这是由于一个聪明的黑客远程插入的恶意软件。”“我最近听到几名特勤局高级官员说,哈特兰支付系统的入侵——历史上最大的一次入侵,有1.3亿支付款卡被入侵——实际上是由阿尔贝托·冈萨雷斯以一种非常低技术含量的方式实施的。这些特工说,冈萨雷斯是Heartland公司的一名呼叫中心员工,每天带着USB驱动器上的敏感支付款数据离开。这显然是在他因泄露TJX而被捕并成为政府线人之后。”
利坦说:“我猜数据是从塔吉特的授权和结算交换系统中窃取的。”
利坦接着说,“如果我们从斯诺登/国安局和维基解密/布拉德利·曼宁的事件中了解到什么,那就是内部人士可能造成最大的破坏,因为一些基本的控制没有到位。我不会对塔吉特公司的违规行为感到惊讶。塔吉特在保护系统免受外部入侵者入侵方面做得很好,但在保护内部访问方面却失败了。”
利坦说,塔吉特已经花了“一小笔钱在支付卡的安全性和PCI标准上”。但现在,塔吉特将面临来自Visa、万事达、美国运通等信用卡协会的压力,因为此次违规,它们将提高塔吉特的商户交易费用。塔吉特公司也可能会因此被罚款,而且可能会让塔吉特公司偿还因这次大规模的违规而被发现的任何欺诈行为。
所有这一切的其他法律后果是来自律师或州检察长的集体诉讼也可能出现。然而,她指出,这些集体诉讼通常会被驳回,因为通常对消费者的损害很小,因为任何欺诈性指控通常都会被撤销。利坦表示:“最终,塔吉特公司必须承担的实际欺诈损失可能不到2500万美元。”“但它支付给银行的费用可能是这个数字的两倍。”
Ellen Messmer是IDG网站Network World的高有个足球雷竞技app级编辑,主要报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com