黑客利用 HVAC 公司的登录凭据访问了 Target POS 系统
塔吉特上个月发生的大规模数据泄露事件可能部分是由于该零售商未能正确地将处理敏感支付卡数据的系统与其网络的其余部分隔离。
安全博主 Brian Krebs 是第一个报道 Target 漏洞的人,他昨天已报告黑客利用从一家为 Target 提供服务的供暖、通风和空调公司窃取的登录凭证闯入了该零售商的网络。
据克雷布斯称,接近调查的消息人士称,攻击者于 2013 年 11 月 15 日首次入侵塔吉特网络,所用用户名和密码是从法齐奥机械服务公司 (Fazio Mechanical Services) 窃取的,法齐奥机械服务公司是一家总部位于宾夕法尼亚州夏普斯堡的公司,专门为塔吉特等公司提供制冷和暖通空调系统。
显然,法齐奥有权访问 Target 的网络,以执行远程监控各个商店的能源消耗和温度等任务。
攻击者利用 Fazio 凭证提供的访问权限在 Target 网络上不被发现地移动,并将恶意软件程序上传到该公司的销售点 (POS) 系统。
黑客首先在少数收银机上测试了这种数据窃取恶意软件,然后在确定软件有效后,将其上传到大多数 Target POS 系统。2013 年 11 月 27 日至 12 月 15 日期间,攻击者使用该恶意软件窃取了大约 4000 万张借记卡和信用卡的数据。美国、巴西和俄罗斯。
克雷布斯援引法齐奥总裁罗斯·法齐奥的话证实,美国特勤局曾就塔吉特泄密事件访问过他的公司。该公司没有透露其在泄密事件中所扮演的角色的其他细节。
法齐奥没有立即回应计算机世界请求置评。周三下午,该公司的网站似乎处于离线状态,但目前尚不清楚这是否与克雷布斯的报告有关。
自从塔吉特去年 12 月首次披露数据泄露事件以来,该公司一直将自己描绘成一次特别复杂的网络盗窃的受害者。事实上,在本周国会作证时,塔吉特高管并坚称由于违规行为的性质十分复杂,因此很难避免。
但安全供应商 FireMon 创始人兼首席技术官 Jody Brazil 表示,Krebs 认为此次事件的起因更为普通,而且完全可以预防。“这次入侵并没有什么特别之处,”Brazil 说道。
巴西表示,“塔吉特选择允许第三方访问其网络”,但未能妥善保护该访问。
即使 Target 有正当理由授予 Fazio 访问权限,该零售商也应该对其网络进行隔离,以确保 Fazio 和其他第三方无法访问其支付系统。
巴西表示,目前已有多种成熟的流程和做法来确保第三方访问企业网络的安全。即使是像 Target 这样的公司必须遵守的支付卡行业数据安全标准也规定了网络分段作为保护敏感持卡人数据的一种方式。
巴西表示,确保遵守这些做法是塔吉特的责任。但事实上,攻击者显然能够利用第三方访问权限进入塔吉特的支付系统,这表明这些做法实施不当——至少是这样的,他说。
唯一真正攻击的一大罪魁祸首似乎是用来拦截和窃取 Target POS 系统支付卡数据的恶意软件。但巴西表示,如果 Target 一开始就采用了适当的网络分段做法,攻击者就无法安装恶意软件。
专门从事第三方风险管理的公司 BitSight 的首席技术官兼联合创始人斯蒂芬·博耶 (Stephen Boyer) 表示,此次泄密事件凸显了通过网络连接的外部人员对公司构成的威胁。
“在当今高度网络化的世界,公司与越来越多的业务合作伙伴合作,这些合作伙伴包括支付收款和处理、制造、IT 和人力资源等部门,”博耶说。“黑客会找到最薄弱的切入点来获取敏感信息,而这个切入点通常位于受害者的生态系统中。”
涵盖数据安全和隐私问题、金融服务安全和电子投票计算机世界. 在 Twitter 上关注 Jaikumar@jaivijayan或订阅Jaikumar 的 RSS 订阅。他的电子邮件地址是[email protected]。
