Geçtiğimiz yılın sonlarında onlarca Amerikalı’nın mali ve kişisel bilgilerini ifşa eden rezil Hedef güvenlik ihlali, şirketin rutin işlemlerini ve bakım işlevlerini ayrı bir ağda kritik ödeme işlevlerinden uzak tutamamasının sonucudur. Aralık ayındaki ihlali ilk bildiren araştırmacı Brian Krebs.
Geçen hafta Hedef, The Wall Street Journal'a , ağının ilk ihlalinin üçüncü taraf bir satıcıdan çalınan giriş bilgilerinde izlendiğini ortaya çıkardı. Bay Krebs, söz konusu satıcının, soğutma ve HVAC kurulum ve bakımını sağlamak amacıyla Target ile sözleşme yapan Sharpsburg, PA merkezli bir firma olan Fazio Mechanical Services olduğunu bildirdi. Fazio başkanı Ross Fazio, şirketin ABD Gizli Servisi tarafından soruşturmanın bir parçası olarak ziyaret edildiğini doğruladı, ancak çalışanlarına verilen giriş bilgilerinin dahil olduğu hakkında henüz herhangi bir açıklama yapmadı.
Fazio çalışanlarına, enerji kullanımı ve soğutma sıcaklıkları gibi parametreleri izlemek için Target'in ağına uzaktan erişim izni verildi. Ancak, Hedefin ağını bölümlere ayırmadığı bildirildiği için, bilgili hackerların, perakendecinin hassas satış noktası (POS) sunucularına erişmek için aynı üçüncü taraf uzaktan kimlik bilgilerini kullanabileceği anlamına geliyordu. Halen bilinmeyen bilgisayar korsanları, Hedef POS sistemlerinin çoğuna kötü amaçlı yazılım yüklemek için bu güvenlik açığından yararlandı; bu, kasım ayı sonlarında ve Aralık ayının ortalarında mağazada alışveriş yapan 70 milyon müşterinin ödeme ve kişisel bilgilerini aldı.
Bu vahiy, olayın Hedef yöneticiler tarafından sofistike ve beklenmeyen bir siber hırsızlık olarak nitelendirilmesi konusunda şüphe uyandırdı. Yüklenen kötü amaçlı yazılım gerçekten oldukça karmaşık olsa da, Fazio çalışanları giriş bilgilerinin çalınmasına izin vermekle ilgili bazı suçları paylaşırken, Hedef güvenlik kurallarına uymuş ve ödeme sunucularını izole tutmak için ağını bölümlere ayırmış olsaydı, her iki koşulun da etkilenmiş olabileceği gerçeği devam ediyor. nispeten geniş erişime izin veren şebekelerden.
FireMon güvenlik firmasının kurucusu ve CTO'su Jody Brazil, Computerworld'e şöyle dedi: Hedef, üçüncü tarafların ağına erişmesine izin vermeyi seçti, ancak bu erişimi güvenli bir şekilde sağlayamadı. ”
Diğer şirketler Target'in hatalarından bir şeyler öğrenemezse, tüketiciler daha da fazla ihlali bekleyebilirler. CTO ve risk yönetimi kurucu ortağı BitSight'ın kurucusu Stephen Boyer, “Bugünün hiper ağlı dünyasında şirketler, ödeme toplama ve işleme, üretim, BT ve insan kaynakları gibi fonksiyonlarla gittikçe daha fazla iş ortağı ile çalışıyor. Hackerlar hassas bilgilere erişmek için en zayıf giriş noktasını buluyorlar ve genellikle bu nokta kurbanın ekosistemi içinde. ”
Hedefin, ihlal nedeniyle ödeme kartı endüstrisi (PCI) güvenlik standartlarını ihlal ettiği henüz tespit edilmedi, ancak bazı analistler şirketin geleceğinde sorun çıkmasını öngördü. Şiddetle tavsiye edilse de, PCI standartları kuruluşların ağlarını ödeme ve ödeme dışı işlevler arasında paylaştırmasını gerektirmez, ancak Hedef'in üçüncü taraf erişiminin bir gereklilik olan iki faktörlü kimlik doğrulamasından faydalanıp yararlanmadığı konusunda bir soru var. PCI standartlarının ihlali büyük para cezalarına neden olabilir ve Gartner analisti Avivah Litan, Bay Krebs'e şirketin ihlali nedeniyle 420 milyon $ 'a varan cezalarla karşı karşıya kalabileceğini söyledi.
Hükümet ayrıca ihlale yanıt olarak hareket etmeye başladı. Obama yönetimi bu hafta zorlu siber güvenlik yasalarının kabul edilmesini önerdi, hem suçlulara hem de şirketlere güvenlik ihlalleri sonrasında müşterileri bilgilendirmeleri ve siber veri politikaları konusunda belirli asgari uygulamaları takip etmeleri için federal gereklilikleri getirdi.
