同时进行加拿大的一家大型零售商的渗透测试,罗布范登布林克从商店买来的东西。后来,他发现埋在它的系统中,主要担心自己的信用卡号码。
这家零售商,其中有数百个在加拿大各地的商店,否则有坚如磐石的安全性,是符合被称为支付卡行业的数据安全标准(PCI-DSS)的安全指南,说范登布林克,与顾问IT服务公司Metafore。
但是一个简单的配置错误让他获得远程访问。从那里,他发现了零售商是容易被烧毁目标,Neiman Marcus的,迈克尔斯,UPS商店和其他人同样的问题:卡的数据存储在内存中是恶意软件容易收获。
这个问题是越来越严重。国土安全部和情报局美国能源部警告上个月的1000家企业可以向上恶意软件对他们的电子收款机,在业内被称为点销售设备被感染。
那么,为什么在数据窃贼赢了?安全分析家说点销售恶意软件既不新鲜也不是特别复杂。程序如退避,BlackPOS和JackPOS追捕明文的支付卡细节卡在计算机的内存,被称为处理数据的混乱“RAM刮。”
谁需要办卡的数据客商是,如果持卡人数据泄露PCI-DSS合规,否则将面临法律责任。但最新的安全规范,PCI-DSS 3.0版,不强制要求商户使用技术,从目前看一个人的刷卡加密卡数据,被称为点至点加密。
安全专家说,使用这种技术可以消除内存中的恶意软件问题。
PCI安全标准委员会,其开发PCI-DSS,确实推荐上周三是商家改用那种加密技术。
但是,零售商通常有长期的技术更新周期,所以它可能是五到七年之前,最招吧。欺诈有望从大零售商决心较小的谁没有弱点,说迁移Gartner分析师谁与银行和信用卡公司咨询Avivah利坦。
"总的来说,我认为我们多年来一直在这些销售突破点上徘徊," Litan说。
零售商也在他们的网络日志中丢失了他们正在遭受攻击的关键信号。威瑞森电信(Verizon)负责调查数据泄露的风险团队董事总经理布赖恩•萨尔丁(Bryan Sartin)表示,随后,大多数入侵都被第三方发现,比如当信用卡出现欺诈行为时。
许多商家正在使用“90年代的技术来应对现代网络攻击,”Sartin说。
尼克Economidis,与比兹利集团,这已经看到它的数据外泄的承销商表示商家可以通过卡公司因违反被处以罚款,并都勾上支付法医调查,这对于PCI相关的违规行为可以向上US $ 100,000的成本保险业的繁荣。
近年来,商家偶尔会反击,起诉POS系统的供应商和集成商。这些诉讼通常认为,供应商应为安装和维护错误造成的违约负责。
有趣的是,很少有诉讼的是不断提起诉讼,如POS供应商通常选择定居,查尔斯·霍夫,一个总部位于亚特兰大的律师,谁曾参与过许多这样的行动说。
POS供应商“可能觉得他们有很强的防守,但他们不喜欢在媒体方面的审查,”霍夫说。“这当然不利于他们在市场上。他们想找出一种方法来保持他们的[客户],而不是失去他们。”
所有商家想要做的是“卖什么,他们正在销售,”帕姆加利根,水星支付系统,其支付处理技术内置于各种POS系统,合规性和行业关系的副总裁说。
“PCI要求这些商家遵守越来越多的技术要求,”她说。“他们不想花太多时间和精力来保护他们的信用卡环境。”
有正在进行广泛的努力,以确保商家均达到PCI-DSS标准3.0,它生效于1月1日的速度,但它是复杂的:有12层主要的需求和超过250分的要求。
加利根说,水银工作,以确保其POS合作伙伴均达到PCI的。霍夫是联合创始人兼首席执行官PCI大学,该组织试图向非数据安全专家解释PCI-DSS。
商家在任何时候、任何时候都承受着处理信用卡数据的巨大压力。PCI理事会建议,零售商不能仅仅通过年度审计就把它抛在脑后。一个主要的担忧是,随着时间的推移,网络会发生变化,这可能会在无意中为黑客创造弱点。
这是范登布林克测试的加拿大零售商到底发生了什么。该公司最近完成了硬件更新,并在过程中留下了两个开放的面向互联网的telnet和SSH端口,他说。
这些端口是有密码保护的,但是通过使用各种技术,VandenBrink最终发现了正确的密码。这使他能够访问存储卡数据的存储位置,包括他自己的数据。
“我很惊讶,”他说。“有成千上万的卡在内存中。”