A hírhedt célzott biztonsági rés, amely tavaly év végén tízmillió amerikai amerikainak pénzügyi és személyes információit fedte fel, annak következménye, hogy a vállalat nem tartotta rutinszerű működését és karbantartási funkcióit külön hálózaton a kritikus fizetési funkcióktól, a biztonságról szóló információk szerint Brian Krebs kutató, aki decemberben jelentette be a jogsértést.
A cél a múlt héten kiderült a The Wall Street Journal számára, hogy hálózatának első megsértése a harmadik gyártótól ellopott bejelentkezési adatokra vezethető vissza. Krebs úr most arról számolt be, hogy a szóban forgó eladó a Fazio Mechanical Services, a Sharpsburg, PA-i székhelyű cég, amely szerződést kötött a Targettel a hűtés, valamint a HVAC telepítése és karbantartása érdekében. A Fazio elnök, Ross Fazio megerősítette, hogy a nyomozás részeként a társaságot az Egyesült Államok Titkos Szolgálata látogatta meg, ám még nem tett nyilvános nyilatkozatokat az alkalmazottainak kiosztott bejelentkezési adatok bejelentéséről.
A Fazio alkalmazottai távoli hozzáférést kaptak a Target hálózatához olyan paraméterek nyomon követésére, mint az energiafelhasználás és a hűtési hőmérsékletek. Mivel azonban a Target állítólag elmulasztotta a hálózat szegmentálását, az azt jelentette, hogy a jól képzett hackerek ugyanazon harmadik fél távoli hitelesítő adatait felhasználhatják a kiskereskedő érzékeny értékesítési pont (POS) kiszolgálói eléréséhez. A még ismeretlen hackerek kihasználták ezt a sebezhetőséget, hogy rosszindulatú programokat töltsenek fel a Target POS-rendszereinek nagy részébe, amelyben legfeljebb 70 millió ügyfél fizetési és személyes adatait gyűjtötték össze, akik november végétől december közepéig vásároltak a boltban.
Ez a kinyilatkoztatás megkérdőjelezte az esemény Target vezetők általi kifinomult és váratlan számítógépes lopásnak való minősítését. Míg a feltöltött rosszindulatú program valóban meglehetősen bonyolult volt, és bár a Fazio alkalmazottainak némi hibája van a bejelentkezési adatok eltulajdonításának megengedésében, a tény továbbra is az, hogy bármelyik feltételt megrongálnák, ha a Target követte volna a biztonsági irányelveket, és szegmentálta hálózatát, hogy a fizetési szerverek elszigetelten maradjanak. olyan hálózatoktól, amelyek viszonylag széles hozzáférést tesznek lehetővé.
Jody Brazil, a FireMon biztonsági cég alapítója és műszaki vezetője elmondta a Computerworldnak : „Nincs semmi fantasztikus. A Target úgy döntött, hogy harmadik felek számára lehetővé teszi a hálózathoz való hozzáférést, de nem biztosította a hozzáférés megfelelő védelmét. ”
Ha más társaságok nem tanulnak a Target hibáiból, a fogyasztók még több jogsértést várhatnak el. Stephen Boyer, a CTO és a BitSight kockázatkezelő cég társalapítója elmondta: „A mai hiperhálózatú világban a vállalatok egyre több üzleti partnerrel dolgoznak olyan funkciókkal, mint a fizetésgyűjtés és -feldolgozás, gyártás, informatika és emberi erőforrások. A hackerek a leggyengébb belépési pontot kapják az érzékeny információkhoz való hozzáféréshez, és gyakran ez a pont az áldozat ökoszisztémájában található.
A célpontról még nem derült fény, hogy a megsértés következtében megsértette a fizetési kártyák iparának (PCI) biztonsági előírásait, ám néhány elemző gondot okoz a vállalat jövőjében. Bár a PCI szabványok erősen ajánlottak, a szervezeteknek nem kell szétválasztaniuk hálózatukat a fizetési és a nem fizetési funkciók között, ám továbbra is fennmarad a kérdés, hogy a Target harmadik fél hozzáférése kétfaktoros hitelesítést használ-e, amely követelmény. A PCI-szabványok megsértése nagy bírságot vonhat maga után, és a Gartner elemzője, Avivah Litan azt mondta Krebs úrnak, hogy a társaság akár 420 millió dollár büntetést is kiszabhat.
A kormány a megsértésre adott válaszként is elkezdett cselekedni. Az obamai adminisztráció ezen a héten szigorúbb kiberbiztonsági törvények elfogadását javasolta, mind szigorúbb szankciókkal sújtva az elkövetők számára, mind pedig a vállalatok szövetségi követelményeit, amelyek a biztonsági szabálysértések következtében értesítik az ügyfeleket és betartanak bizonyos minimális gyakorlatokat, amikor a kiber adatvédelmi politikákról van szó.
