Surullisen Target-tietoturvaloukka, joka paljasti kymmenien miljoonien amerikkalaisten taloudelliset ja henkilökohtaiset tiedot viime vuoden lopulla, johtui siitä, että yritys ei pitänyt rutiinitoimintaa ja ylläpitotoimintoja erillisessä verkossa kriittisistä maksutoiminnoista tietoturvan tietojen mukaan. tutkija Brian Krebs, joka ilmoitti ensimmäisen kerran rikkomuksesta joulukuussa.
Tavoite viime viikolla paljasti The Wall Street Journalille , että sen verkon alustava rikkomus oli jäljitettävissä kolmannen osapuolen myyjiltä varastettujen kirjautumistietojen perusteella. Herra Krebs kertoi nyt, että kyseinen myyjä oli Fazio Mechanical Services, Sharpsburg, PA-yritys, joka teki sopimuksen Targetin kanssa jäähdytys- ja LVI-asennuksen ja -huollon tarjoamisesta. Fazion presidentti Ross Fazio vahvisti, että Yhdysvaltain salaisuusvirasto vieraili yrityksessä osana tutkimusta, mutta ei ole vielä antanut julkisia lausuntoja työntekijöilleen annettujen kirjautumistietojen ilmoitetusta osallistumisesta.
Fazion työntekijöille annettiin etäkäyttö Targetin verkkoon seuraamaan parametreja, kuten energiankulutusta ja jäähdytyslämpötiloja. Mutta koska Target ilmoitetusti epäonnistui jakamaan verkkoaan, se tarkoitti, että asiantuntevat hakkerit voivat käyttää samoja kolmannen osapuolen etäkäyttöoikeuksia päästäkseen jälleenmyyjän arkaluontoisten myyntipisteiden (POS) palvelimiin. Vielä tuntemattomat hakkerit hyödyntivät tätä haavoittuvuutta ladatakseen haittaohjelmia suurimpaan osaan Targetin POS-järjestelmiä, jotka sitten keräsivät jopa 70 miljoonan asiakkaan maksut ja henkilökohtaiset tiedot, jotka ostoivat kaupassa marraskuun lopusta joulukuun puoliväliin.
Tämä paljastus on herättänyt epäilyksiä siitä, että kohdejohtajien luonnehdinta tapahtumaksi oli hienostunut ja odottamaton tietovarkaus. Vaikka ladattu haittaohjelma oli todellakin melko monimutkainen, ja vaikka Fazion työntekijät ovat syyllistyneet sisäänkirjautumistietojen varkauksien sallimiseen, tosiasia on, että jompikumpi ehto olisi tehty moottoriksi, jos Target olisi noudattanut tietoturvaohjeita ja segmentoinut verkkonsa pitämään maksupalvelimet eristettynä. verkoista, jotka mahdollistavat suhteellisen laajan pääsyn.
Turvayrityksen FireMon perustaja ja tekninen johtaja Jody Brazil selitti Computerworldille : ”Ei ole mitään mielikuvitusta. Target päätti sallia kolmansien osapuolien pääsyn verkkoon, mutta epäonnistui suojaamaan sitä oikein. "
Jos muut yritykset eivät pysty oppimaan Targetin virheistä, kuluttajat voivat odottaa seuraavan edelleen enemmän rikkomuksia. Stephen Boyer, CTO ja BitSight-riskinhallintayrityksen perustaja, selitti: ”Nykypäivän hyperverkkoympäristössä yritykset työskentelevät yhä useamman liikekumppanin kanssa, joiden toiminnot ovat esimerkiksi maksujen keruu ja käsittely, valmistus, IT ja henkilöstö. Hakkerit löytävät heikoimman pääsypisteen saadakseen arkaluontoisia tietoja ja usein tämä kohta on uhrin ekosysteemissä. "
Kohteen ei ole vielä todettu rikkoneen maksukorttiteollisuuden (PCI) turvallisuusstandardeja rikkomuksen seurauksena, mutta jotkut analyytikot näkevät ongelmia yrityksen tulevaisuudessa. Vaikka PCI-standardit ovat erittäin suositeltavia, ne eivät vaadi organisaatioita segmentoimaan verkkojaan maksutoimintojen ja muiden kuin maksujen suorittavien toimintojen välillä, mutta on edelleen kysyttävää siitä, käyttivätkö Targetin kolmannen osapuolen pääsy kaksifaktorista todennusta, mikä on vaatimus. PCI-standardien rikkomukset voivat johtaa suuriin sakkoihin, ja Gartner-analyytikko Avivah Litan kertoi herra Krebsille, että yritykselle voidaan määrätä rikkomuksesta jopa 420 miljoonan dollarin sakot.
Hallitus on myös alkanut toimia vastauksena rikkomukseen. Obaman hallinto suositteli tällä viikolla tiukempien tietoverkkoturvallisuuslakien antamista tuomitsemalla rikoksentekijöille sekä ankarampia seuraamuksia että liittovaltion liittovaltion vaatimuksia ilmoittaa asiakkailleen tietoturvaloukkausten seurauksena ja noudattaa tiettyjä vähimmäiskäytäntöjä tietoverkkotietopolitiikan suhteen.
