家得宝周二证实,正在调查未指定数量客户的信用卡和借记卡数据可能被泄露的情况,这可能是又一次大规模的数据泄露事件。
家得宝周二证实,正在调查未指定数量客户的信用卡和借记卡数据可能被泄露的情况,这可能是又一次大规模的数据泄露事件。
安全博主布莱恩·克雷布斯最先报告此次数据泄露事件的零售商今天估计,此次数据泄露的规模可能比塔吉特的事件还要大,塔吉特的事件泄露了超过 4000 万张支付卡的数据。
克雷布斯指出,多家银行报告称,家得宝的入侵事件发生在 4 月底或 5 月初,直到最近才被发现。有迹象表明,美国所有 2,200 家家得宝门店都可能受到影响。
克雷布斯写道:“如果这是真的——甚至大多数家得宝商店都受到了攻击——那么这次入侵的规模可能比塔吉特的规模大很多倍。”
家得宝发言人保拉德雷克 (Paula Drake) 表示,公司正在调查有关其网络可能遭到入侵的报告,但没有提供可能发生的情况的详细信息。
“目前,我可以确认我们正在调查一些不寻常的活动,我们正在与银行合作伙伴和执法部门合作进行调查,”德雷克在一封电子邮件声明中说。“保护客户信息是我们非常重视的事情,我们正在积极收集事实,同时努力保护客户。如果我们确认发生了违规行为,我们将确保立即通知客户。”
德雷克补充道,如果没有更多信息,公司就不宜猜测可能发生的事情。“我们将尽快提供更多信息。”
家得宝事件是近期美国企业披露的一系列数据盗窃事件中的最新一起。
过去几周发表类似声明的其他人包括美国最大的食品杂货批发商和零售商之一,以及 Dairy Queen。
此次泄密事件曝光之际,美国支付行业越来越担心黑客会使用名为 Backoff 的恶意软件代码窃取销售点 (PoS) 系统网络的数据。据信,Target、PF Changs 和 Neiman Marcus 泄密事件背后的黑客曾使用 Backoff 窃取各公司 PoS 系统的数据。
美国国土安全部和美国特勤局已发布两份警告,警告零售商注意 Backoff,并指出该恶意软件已感染至少 1,000 家美国企业。两家机构警告称,在大多数情况下,黑客首先通过远程访问应用程序访问 PoS 网络,然后便能将恶意软件植入其中。
负责监管 PCI 安全标准的支付卡行业安全标准委员会于 8 月底发布了一份紧急公告,敦促零售商审查安全控制措施并采取端到端加密等额外保护措施,以防止恶意软件的攻击。
上周五,安全公司卡巴斯基实验室警告称,Backoff 感染的系统数量可能比一般认为的要多得多。
“很明显,针对零售业的犯罪分子所采用的策略、技术和程序大多数零售商都无法做好阻止的准备,”EMC 安全部门 RSA 技术解决方案总监 Rob Sadowski 表示。“针对支付卡数据的网络犯罪分子瞄准的是最大、最有利可图的目标,因为他们觉得他们能够成功。如果报道属实,这次最新的入侵事件再次证明了他们是正确的。”
安全供应商 ZScaler 的安全研究副总裁迈克尔·萨顿 (Michael Sutton) 表示,最新的入侵事件似乎与 Target、Nieman Marcus 和 PF Changs 之前遭遇的入侵事件遵循了相同的模式。
“如果美国零售商采用大多数工业化国家在借记卡和信用卡中强制使用的‘芯片和 PIN’技术,这些违规行为基本上可以避免,”萨顿说。“这项技术在美国没有得到广泛采用,主要是因为零售商担心实施该技术的成本而进行游说。”
萨顿表示,许多违规行为都是由第三方而不是零售商自己发现的,这一事实尤其令人不安。
萨顿说:“令人担忧的是,数以千兆字节的信用卡数据可能在数月内每天从数百家零售商店被窃取,并最终被发送给东欧的攻击者,而没有任何警报或反应。”
