黑客使用属于 HVAC 公司的登录凭据访问 Target POS 系统
塔吉特上个月发生的大规模数据泄露事件可能部分是由于该零售商未能将处理敏感支付卡数据的系统与其网络的其他部分正确隔离。
安全博主布莱恩·克雷布斯 (Brian Krebs) 是第一个报告塔吉特 (Target) 漏洞的人,昨天报道称,黑客使用从一家为塔吉特 (Target) 多个地点工作的供暖、通风和空调公司窃取的登录凭据闯入了零售商的网络。
据 Krebs 称,接近调查的消息人士称,攻击者于 2013 年 11 月 15 日首次使用从 Fazio Mechanical Services 窃取的用户名和密码访问 Target 的网络。Fazio Mechanical Services 是一家位于宾夕法尼亚州夏普斯堡的公司,专门为 Target 等公司提供制冷和 HVAC 系统。
法齐奥显然拥有塔吉特网络的访问权限,可以执行远程监控各商店的能源消耗和温度等任务。
攻击者利用 Fazio 凭据提供的访问权限在 Target 网络上进行不被发现的移动,并在该公司的销售点 (POS) 系统上上传恶意软件程序。
黑客首先在少量收银机上测试了数据窃取恶意软件,然后在确定该软件有效后,将其上传到塔吉特的大部分 POS 系统。 2013年11月27日至12月15日期间,攻击者利用该恶意软件窃取了约4000万张借记卡和信用卡的数据。美国、巴西和俄罗斯。
克雷布斯援引法齐奥总裁罗斯·法齐奥的话证实,美国特勤局就塔吉特违规事件访问了他的公司。该公司没有提供有关其涉嫌在此次违规事件中所扮演角色的其他细节。
法齐奥没有立即回应计算机世界请求发表评论。周三下午,该公司的网站似乎已离线,但目前尚不清楚这是否与克雷布斯的报告有关。
自从塔吉特去年 12 月首次披露数据泄露事件以来,该公司一直将自己描绘成一次特别复杂的网络抢劫的受害者。事实上,塔吉特高管本周在国会作证时表示并坚称,由于其复杂性,这种违规行为很难避免。
但安全供应商 FireMon 的创始人兼首席技术官乔迪·巴西 (Jody Brazil) 表示,克雷布斯认为,原因更为平常,而且完全可以预防。 “这次违规事件并没有什么奇怪的,”巴西说。
巴西表示,“塔吉特选择允许第三方访问其网络”,但未能正确保护该访问。
即使 Target 有正当理由给予 Fazio 访问权限,零售商也应该对其网络进行分段,以确保 Fazio 和其他第三方无法访问其支付系统。
巴西表示,目前存在一些成熟的流程和实践来确保第三方访问企业网络的安全。即使是 Target 等公司必须遵守的支付卡行业数据安全标准,也将网络分段指定为保护敏感持卡人数据的一种方式。
巴西表示,塔吉特有责任确保这些做法得到遵守。但他表示,攻击者显然能够利用第三方访问权限来访问塔吉特的支付系统,这一事实表明这些做法充其量是实施不当的。
唯一真正此次攻击的恶意软件似乎用于拦截和窃取 Target POS 系统的支付卡数据。但巴西表示,如果塔吉特一开始就采用了适当的网络分段做法,攻击者将无法安装恶意软件。
专门从事第三方风险管理的公司 BitSight 的首席技术官兼联合创始人斯蒂芬·博耶 (Stephen Boyer) 表示,此次泄露凸显了网络连接的外部人员对公司构成的威胁。
“在当今的超网络世界中,公司正在与越来越多的具有付款收集和处理、制造、IT 和人力资源等职能的业务合作伙伴合作,”博耶说。 “黑客会找到获取敏感信息的最薄弱的入口点,而该点通常位于受害者的生态系统内。”
涵盖数据安全和隐私问题、金融服务安全和电子投票计算机世界。在 Twitter 上关注 Jaikumar:@jaivijayan或订阅Jaikumar 的 RSS 源。他的电子邮件地址是[email protected]。
看。