本月早些时候,汉纳福德兄弟公司(Hannaford Brothers Cos)披露了其超市商店的信用卡数据泄露事件。本周,该公司与马萨诸塞州监管机构分享了有关该事件正在进行的调查的更多信息。
汉纳福德兄弟公司该公司于本月早些时候披露了其超市商店的信用卡数据泄露事件。本周,该公司与马萨诸塞州监管机构分享了有关该事件正在进行的调查的更多信息。
在致马萨诸塞州总检察长玛莎·科克利(Martha Coakley)和州长德瓦尔·帕特里克(Deval Patrick)消费者事务办公室(Office of Consumer Affairs)的一封信中,汉纳福德的总法律顾问艾米莉·迪金森(Emily Dickinson)分享了汉纳福德在调查中发现的细节。
根据Hannaford向马萨诸塞州总检察长提供的信息,该信指出,加载到Hannaford服务器上的恶意软件允许攻击者在客户在结账柜台使用支付卡时拦截存储在支付卡磁条上的卡数据。从销售点获取的信息包括卡号和有效期,但不包括客户姓名。这次攻击导致信用卡数据被转移到海外,并导致2000起已知的欺诈案件。
“这是一个不断演变的局面,”汉纳福德市场副总裁卡罗尔·埃莱泽(Carol Eleazer)说,他指出,关于数据泄露事件的计算机取证报告尚未完成。
Hannaford的安全调查人员称这次攻击是“复杂的”。她说,美国特工局也参与了调查数据泄露是如何发生的。
尽管汉纳福德遵守了法律,但袭击还是成功了支付卡行业规则为了证明遵守PCI数据安全标准,需要进行卡协会要求的详细检查和认证(通常是昂贵的),包括签证和万事达卡.
PCI还要求定期进行漏洞扫描。汉纳福特表示,该公司去年获得PCI认证,并于2月27日重新认证。
毫不奇怪,汉纳福德数据泄露案已经吸引了一些客户诉讼.
一些分析人士认为,正在进行的汉纳福德案件提出了有关PCI及其目的的重要和未回答的问题。
Gartner副总裁兼零售业计算机网络安全专家Avivah Litan指出,如果Hannaford案中的攻击者最初将数据从销售点设备捕获到商店中的服务器,他们可能已经知道在该点PCI不需要对数据进行加密。
“PCI只需要在开放网络(通常是互联网或无线网络)上进行加密,”利坦说。在零售业,您几乎从不在收银机销售点和商店服务器之间加密
随着更多关于汉纳福德数据泄露的信息被了解,可能会有一些行业努力扩大加密要求。然而,利坦的观点是,要求额外的加密不一定是一个好的举措,因为这将给零售商处理卡数据带来巨大的成本。此外,她指出,PCI中要求的漏洞扫描应该解决允许将恶意软件加载到服务器上的服务器弱点。
利坦说,汉纳福德案提出的关于PCI的第二点是卡相关欺诈损失的财务责任所在。
该行业的PCI授权通常意味着符合PCI的企业不必承担犯罪分子使用通过已知数据泄露获得的卡进行欺诈的成本负担。
在PCI协议下,当数据泄露导致卡欺诈时,寻求从发卡银行取回资金的商业银行(称为收单银行)将承担财务负担。Visa卡等信用卡协会也是PCI下解决流程的一部分,该流程尚未在任何已知案例中进行测试。
“这一切都是谁的责任,”利坦说,他说,汉纳福德案可能最终会让我们了解到这些与PCI相关的重要法律和金融概念在现实世界中是如何发挥作用的。
利坦指出,如果PCI不为通过PCI认证流程的企业提供任何保障,那么问题将是他们为什么要这样做?
利坦补充说,客户对汉纳福特提起的诉讼是一个独立的法律问题,必然会对整个事件产生影响,州或联邦监管机构施加的任何影响也是如此。
Hannaford的Eleazer表示,该公司对这些复杂的法律问题没有立即回应,尽管它知道PCI规则。她说,汉纳福德将PCI视为“行业的黄金标准”。埃莱泽还表示,该公司希望“为了零售业的利益”,更多地分享数据泄露事件的真相
她总结道:“我们的首要任务是保护我们的客户以及我们与他们的关系。”。
汉纳福特早些时候承认,在12月7日至3月10日期间,其在六个州的超市门店使用的大约420万个信用卡和借记卡号码被泄露。它告诉马萨诸塞州总检察长办公室,它现在认为这次攻击涉及在300家商店的服务器上安装恶意软件。
了解有关此主题的更多信息
汉纳福德连锁超市披露违规行为03/17/08
汉纳福德违约:代表受害者提起诉讼03/21/08
新的零售商违约可能影响数千人03/17/08