家得宝周二证实,它正在调查属于数量不详的客户的信用卡和借记卡数据可能被泄露的事件,这可能是另一起巨大的数据泄露事件。
家得宝周二证实,它正在调查属于数量不详的客户的信用卡和借记卡数据可能被泄露的事件,这可能是另一起巨大的数据泄露事件。
安全博主布赖恩·克雷布斯最先报告此次泄露的人今天估计,此次泄露的规模可能比塔吉特 (Target) 的泄露还要大,后者泄露了超过 4000 万张支付卡的数据。
克雷布斯指出,多家银行报告称家得宝的入侵发生在四月底或五月初,直到最近才被发现。有迹象表明,美国所有 2,200 家 Home Depot 商店都可能受到影响。
克雷布斯写道:“如果这是准确的——即使大多数家得宝商店都受到了损害——这次泄露的规模可能比塔吉特大很多倍。”
家得宝 (Home Depot) 发言人保拉·德雷克 (Paula Drake) 表示,该公司正在调查有关其网络可能遭到破坏的报道,但没有提供有关可能发生的情况的详细信息。
德雷克在一份电子邮件声明中表示:“目前,我可以确认,我们正在调查一些不寻常的活动,并且正在与银行合作伙伴和执法部门合作进行调查。” “保护客户信息是我们非常重视的事情,我们目前正在积极收集事实,同时努力保护客户。如果我们确认发生了违规行为,我们将确保立即通知客户。”
德雷克补充说,如果没有进一步的信息,该公司不宜猜测可能发生的情况。 “我们将尽快提供进一步信息。”
家得宝事件是美国企业近日披露的一系列数据盗窃事件中的最新一起。
过去几周发布类似公告的其他公司包括美国最大的杂货批发商和零售商之一,和冰品皇后。
此次泄露事件发生之际,美国支付行业对黑客使用名为 Backoff 的恶意软件代码从销售点 (PoS) 系统网络窃取数据的担忧不断升级。据信,Target、PF Changs 和 Neiman Marcus 漏洞背后的黑客利用 Backoff 窃取了各公司 PoS 系统的数据。
美国国土安全部和美国特勤局已发布两份警报,警告零售商有关 Backoff 的问题,并指出该恶意软件已感染至少 1,000 家美国企业。这两个机构警告说,在大多数情况下,黑客在首次通过远程访问应用程序访问 PoS 网络后,就能够将恶意软件存放在 PoS 网络上。
负责监督 PCI 安全标准的支付卡行业安全标准委员会于 8 月下旬发布了一份紧急公告,敦促零售商审查安全控制措施并采取额外的保护措施(例如端到端加密)来防范恶意软件。
上周五,安全公司卡巴斯基实验室警告称,Backoff 感染的系统可能比普遍认为的要多得多。
EMC 安全部门 RSA 的技术解决方案总监 Rob Sadowski 表示:“很明显,针对零售业的犯罪分子所采用的策略、技术和程序是大多数零售商都没有做好阻止的准备。” “针对支付卡数据的网络犯罪分子正在追逐最大、最有利可图的目标,因为他们认为自己能够成功。如果报道属实,这次最新的违规行为将再次证明他们是正确的。”
安全供应商 ZScaler 安全研究副总裁 Michael Sutton 表示,最新的违规行为似乎与 Target、Nieman Marcus 和 PF Changs 之前的违规行为遵循相同的模式。
萨顿说:“如果美国零售商采用大多数工业化国家借记卡和信用卡强制使用的‘芯片和密码’技术,这些违规行为基本上可以避免。” “该技术尚未在美国广泛采用,主要是由于担心实施该技术的成本的零售商的游说。”
萨顿说,许多此类违规行为是由第三方而非零售商本身发现的,这一事实尤其令人不安。
萨顿说:“令人担忧的是,连续数月每天都会从数百家零售商店窃取数千兆字节的信用卡数据,并最终发送给东欧的攻击者,而不会发出警报或做出反应。”