内曼·马库斯不知道攻击者已经收获的支付卡细节,直到在六周后活动结束,当它的商务处理在零上的欺诈性消费模式。
这家零售商在信中给了它的最完整的账户但其数据泄露周三美国参议员理查德·布卢门撒尔,来自康涅狄格州的民主党,谁对他们是如何回应的攻击推内曼·马库斯和目标的更多细节。
Neiman Marcus的特点是涉及“复杂的”,以及它如何被收集牌细节,尽管安全措施零售商说超过行业建议部分中描述的恶意软件。
+ ALSO ON网足球竞猜app软件络世界最坏的数据泄露的15+
多达110万支付卡可能已经暴露,到目前为止2400卡已被盗用,写了Neiman Marcus的CIO迈克尔·金斯顿在信中,发布在布卢门撒尔的网站。
法医调查已经确定,安装“擦伤”的支付卡细节恶意软件,他写道。
同一种恶意软件,其安装在点的销售终端,用于对零售商Target,已经说了40万的信用卡资料可能已被破坏。该恶意软件抓住未加密卡数据,同时它仍然在收银机的内存中。
无论是零售商已经显露出攻击者是如何突破他们的系统。该恶意软件被安装Neiman Marcus的系统早在7月2013,并通过二零一三年十月三十日活跃,金斯顿写道。
当它的商务处理签证表示鉴定未知数量的欺诈性购买的与已在门店数量少用卡的零售商的欺诈苗头来了12月13日。在接下来的一周,Visa和MasterCard发送的是经过了他们的持有人拜访商店被冒用卡的详细报告。
金斯顿写道,内曼·马库斯于12月20日聘请了一家取证公司进行调查,并于12月23日通知联邦执法部门。另一位计算机调查顾问Stroz Friedberg在12月29日被聘用。
1月1日,该公司法医说,它似乎发现恶意软件相关的支付卡交易。在接下来的两天里,内曼·马库斯开始规划如何通知受影响的消费者和金融机构。
1月10日,也就是事件发生的当天,谷歌开始通知客户透露作者:Brian Krebs。
在一个更新后在公司网站上,内曼•马库斯集团总裁兼首席执行长凯伦•卡茨(Karen Katz)说,公司将通知所有拥有联系信息的顾客,以及自2013年1月以来在该公司门店购物的顾客。它将为他们提供为期一年的免费信用监控和身份盗窃保护。
尼曼马库斯说,社会安全号码和出生日期不采取,并且它的店不要求客户输入支付卡PIN(个人识别码)。
据金斯顿,Neiman Marcus的系统超过了支付卡行业的数据安全标准(PCI-DSS)的要求,一组安全最佳实践各地处理卡数据。
PCI-DSS不零售商内需要网络传输的加密。从银行卡刷卡的数据,在Neiman Marcus的经过点销售设备的内存“然后通过加密隧道传输到我们的网络上的一个中心点,”金斯顿写道。
“然后将数据通过防火墙商家支付处理器通过专用电路转发,”他写道。
金斯顿描述用作恶意软件“复杂,并且其输出被加密。”
调查人员分析,加密算法和创造,使他们能够解密加扰的信息,这表明脚本“支付卡信息已被抓获,”金斯顿写道。
安全专家认为,也被称为“BlackPOS”,“Kaptoxa”的变体是对目标使用。该恶意软件被安全公司早在2013年3月发现它不是来自金士顿的信件清楚,如果Kaptoxa反对Neiman Marcus的使用相同的恶意软件。
发送新闻线索和意见jeremy_kirk@idg.com。按照我的Twitter:@jeremy_kirk