上个月塔吉特公司(Target)发生的大规模数据泄露事件,部分原因可能是该零售商未能正确隔离处理敏感支付卡数据的系统与网络的其他部分。
安全博客博主布莱恩·克雷布斯昨天第一个报道了塔吉特黑客事件报道黑客利用从一家供暖、通风和空调公司窃取的登录凭证侵入了这家零售商的网络。这家公司在多个地点为塔吉特百货(Target)工作。
克雷布斯称,接近调查的消息人士称,2013年11月15日,攻击者利用从宾夕法尼亚州沙普斯堡法齐奥机械服务公司(Fazio Mechanical Services)窃取的用户名和密码首次进入Target的网络。这家总部设在美国的公司专门为塔吉特这样的公司提供制冷和暖通空调系统。
法齐奥显然有访问塔吉特网络的权限,可以执行诸如远程监控能源消耗和不同商店的温度等任务。
攻击者利用法齐奥证书提供的访问权限,在目标公司的网络上不被发现地移动,并在该公司的POS系统上上传恶意软件程序。
黑客们首先在一小部分收银机上测试了这种窃取数据的恶意软件,然后在确定该软件能工作后,将其上传到Target的大部分POS系统。2013年11月27日至12月15日期间,攻击者使用该恶意软件窃取了约4000万张借记卡和信用卡的数据。美国美国、巴西和俄罗斯。
克雷布斯援引法齐奥的总裁罗斯法齐奥的话证实,美国特勤局曾就塔吉特公司的泄密事件访问过他的公司。该公司没有提供其在此次事件中所扮演角色的其他细节。
法齐奥没有立即回应Computerworld的置评请求。周三下午,该公司的网站似乎处于下线状态,但目前尚不清楚这是否与克雷布斯的报告有关。
自去年12月塔吉特(Target)首次披露数据被盗以来,该公司一直将自己描述为一场特别复杂的网络盗窃的受害者。事实上,本周在国会作证时,矛头指向了企业高管为公司的安全措施辩护并坚持认为,由于其复杂的性质,入侵是难以避免的。
但克雷布斯认为,造成这种情况的原因更普通,而且完全可以预防,安全供应商FireMon的创始人兼首席技术官乔迪•巴西说。“这次突破没什么好奇怪的,”巴西说。
“Target选择允许第三方访问其网络”,但未能适当地确保访问安全,巴西说。
即使塔吉特有正当的理由让法齐奥进入支付系统,这家零售商也应该分割其网络,以确保法齐奥和其他第三方无法进入其支付系统。
巴西说,目前有几种成熟的程序和实践可以确保第三方访问企业网络。即使是像塔吉特这样的公司被要求遵守的支付卡行业数据安全标准,也规定网络细分是保护敏感持卡人数据的一种方式。
巴西表示,塔吉特公司有责任确保这些做法得到遵守。但他表示,攻击者显然能够利用他们的第三方渠道进入塔吉特的支付系统,这一事实表明,这些做法充其量是不恰当的。
唯一的真正复杂的组件在这次攻击中,恶意软件被用来拦截并从Target的POS系统中窃取支付卡数据。但巴西表示,如果Target一开始就采取了适当的网络分割措施,攻击者就无法安装该恶意软件。
BitSight是一家专门从事第三方风险管理的公司,其联合创始人兼首席技术官斯蒂芬•博耶尔(Stephen Boyer)表示,此次入侵突显了联网外部人士对企业构成的威胁。
博耶尔说:“在当今高度网络化的世界里,公司与越来越多的商业伙伴合作,提供收款、加工、制造、IT和人力资源等功能。”“黑客会找到进入敏感信息的最薄弱环节,而这个环节往往就在受害者的生态系统内。”
Jaikumar Vijayan涵盖数据安全和隐私问题,金融服务安全和计算机世界的电子投票。在推特上关注Jaikumar@jaivijayan或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
看到Jaikumar Vijayan在Computerworld.com报道更多内容。
阅读更多关于网络犯罪和黑客的内容在计算机世界的网络犯罪和黑客话题中心。
这篇文章,“由于一个基本的网络分割错误而发生的目标漏洞”最初是由发表的《计算机世界》 。