• Bugün öğrendim ki: 2013 yılında bilgisayar... Bugün öğrendim ki: 2013 yılında bilgisayar korsanları Target'ın HVAC satıcısından ağ kimlik bilgilerini çaldıktan sonra Target'ın kredi kartı verilerini de çalmayı başardılar (krebsonsecurity.com)
    by awww     bir ay önce        0 Yorum     Bugün Öğrendim ki    


    • Bugün öğrendim ki: 2013 yılında, bilgisayar korsanları Target'ın HVAC satıcısından ağ kimlik bilgilerini çaldıktan sonra Target'ın kredi kartı verilerini de çalmayı başardılar
    Geçtiğimiz hafta, Target, The Wall Street Journal ve Reuters'taki muhabirlerine, sistemlerine yapılan ilk müdahalenin üçüncü taraf bir tedarikçiden çalınan ağ kimlik bilgilerine kadar izlendiğini söyledi. Kaynaklar şimdi KrebsOnSecurity'e, söz konusu tedarikçinin, Target ve diğer önde gelen perakendecilerin çeşitli yerlerinde çalışmış bir soğutma, ısıtma ve klima alt yüklenicisi olduğunu söylüyor.

    Soruşturmaya yakın kaynaklar, saldırganların ilk olarak 15 Kasım 2013'te, Sharpsburg, Penn merkezli bir soğutma ve HVAC sistemleri sağlayıcısı olan Fazio Mechanical Services'tan çalınan ağ kimlik bilgilerini kullanarak perakendecinin ağına girdiklerini söyledi.

    Fazio başkanı Ross Fazio, ABD Gizli Servisi'nin Target soruşturmasıyla bağlantılı olarak şirketinin ofislerini ziyaret ettiğini doğruladı, ancak ziyaret sırasında orada bulunmadığını söyledi. Fazio Başkan Yardımcısı Daniel Mitsch, ziyaretle ilgili soruları yanıtlamayı reddetti. Şirketin ana sayfasına göre, Fazio Mechanical ayrıca Pennsylvania, Maryland, Ohio, Virginia ve Batı Virginia'daki belirli Trader Joe's, Whole Foods ve BJ's Wholesale Club lokasyonları için soğutma ve HVAC projeleri de yaptı.

    Target sözcüsü Molly Snyder, "çok aktif ve devam eden bir soruşturma" gerekçe göstererek şirketin paylaşmak için ek bir bilgisi olmadığını söyledi.

    Target'ın neden bir HVAC şirketine harici ağ erişimi verdiğini veya bu erişimin neden Target'ın ödeme sistemi ağına kapatılmadığını hemen anlamak mümkün değil. Ancak isimsiz kalmak isteyen büyük bir perakendecideki bir siber güvenlik uzmanına göre, büyük perakende operasyonlarının, maliyetlerden tasarruf etmek (özellikle geceleri) ve mağazalardaki sıcaklıklar müşterilerin alışveriş yapmasını engelleyecek bir aralık dışında dalgalandığında mağaza yöneticilerini uyarmak için mağazalardaki enerji tüketimini ve sıcaklıkları düzenli olarak izleyen bir ekibe sahip olması yaygındır.

    Kaynak, "Bu çözümü desteklemek için, tedarikçilerin bakım (güncellemeler, yamalar vb.) yapmak veya yazılımdaki aksaklıkları ve bağlantı sorunlarını gidermek için sisteme uzaktan erişebilmeleri gerekir" dedi. "Bu, belirli bir kuruluştaki birçok çözümle maliyet tasarrufları konusuna katkıda bulunur. Ve çalışan sayısından tasarruf etmek için, bazen bir tedarikçiye destek vermenin, fazladan insan eğitmek veya işe almak yerine daha faydalı olması tercih edilebilir."

    YERİ KEŞFETMEK

    Soruşturmacılar ayrıca ihlalin zaman çizelgesi ve saldırganların çalınan verileri Target'ın ağından nasıl taşıdığı hakkında ek ayrıntılar paylaştı.

    Kaynaklar, 15 Kasım ile 28 Kasım (Şükran Günü ve Kara Cuma'dan önceki gün) arasında saldırganların, Target mağazalarındaki az sayıda nakit masasına kart çalan kötü amaçlı yazılımlarını yüklemeyi başardıklarını söyledi.

    Aynı kaynaklar, saldırganların bu zamanı, satış noktası kötü amaçlı yazılımlarının tasarlandığı gibi çalışıp çalışmadığını test etmek için kullandıklarını söyledi.

    Ayın sonunda - sadece iki gün sonra - davetsiz misafirler kötü amaçlı yazılımlarını Target'ın satış noktası cihazlarının çoğuna yaymıştı ve soruşturmacılar bu muhabire, aktif olarak canlı müşteri işlemlerinden kart kayıtları topluyordu. Target, ihlalin 27 Kasım ile 15 Aralık 2013 tarihleri arasında yaklaşık 40 milyon banka ve kredi kartı hesabını etkilediğini söyledi.

    VERİ DÜŞÜŞLERİ

    Target ihlaliyle ilgili bazı raporlar, çalınan kart verilerinin Rusya'daki bir konuma FTP iletişimi yoluyla indirildiğini söylese de, davaya yakın kaynaklar, çalınmış mali bilgilerin çoğunun birkaç "düşürme" yerine iletildiğini söylüyor.

    Bunlar, temelde çalınmış verileri barındırmak için kullanılan ve Doğu Avrupa ve Rusya'daki şüpheli faillerin güvenli bir şekilde erişebileceği ABD ve başka yerlerdeki tehlikeye atılmış bilgisayarlardı.

    Örneğin, Target ağından çalınan kart verileri, Miami'deki bir işletmeye ait hack'lenmiş bilgisayar sunucularında saklanırken, başka bir düşürme sunucusu Brezilya'daydı.

    Soruşturmacılar, ABD'nin şu anda oradaki sunucudaki Target verilerine erişmek için Brezilya yetkililerinden karşılıklı hukuki yardım talep ettiğini söylüyor.

    Bu soruşturmanın sona ermesinin ardından Target'ın ödeme kartı endüstrisi (PCI) güvenlik standartlarına uymamasından dolayı sorumlu tutulup tutulmayacağı henüz belli değil; bu ihlaller ağır para cezalarıyla sonuçlanabilir.

    Gartner Inc.'te dolandırıcılık analisti olan Avivah Litan, mevcut PCI standardının (PDF), kuruluşların ödeme ve ödeme dışı işlemler için ayrı ağlar tutmasını gerektirmemesine rağmen (7. sayfa), satıcıların, ağ dışından gelen uzak ağ erişimi için iki faktörlü kimlik doğrulaması uygulamasını gerektirdiğini söyledi. personel ve tüm üçüncü taraflar - destek veya bakım için tedarikçi erişimi dahil (8.3 bölümüne bakın).

    Her durumda, Litan, bu ihlal sonucunda Target'ın, bankaların milyonlarca kartın yeniden düzenlenmesinin maliyetlerini karşılamasının; PCI uyumluluğuna uymama nedeniyle kart markalarından gelecek para cezalarının ve ihlalden etkilenen on milyonlarca müşteri için yasal ücretler ve kredi izleme dahil olmak üzere doğrudan Target müşteri hizmetleri maliyetlerinin de dahil olduğu 420 milyon dolara kadar kayıp yaşayabileceğini tahmin ediyor.

    Litan, bu tahminlerin Target'ın kısa vadede daha güvenli çipli ve PIN'li kredi ve banka kartlarını kabul etmek için kasiyerlerinde teknoloji uygulamak için harcayacağı miktarları dikkate almadığını belirtiyor. Dün Capitol Hill'deki milletvekillerine yaptığı tanıklıkta, Target'ın başkan yardımcısı ve baş mali sorumlusu, perakendecinin sistemlerini çipli ve PIN'li işlemleri halledecek şekilde yükseltmenin 100 milyon dolara mal olabileceğini söyledi.

    Target, bu maliyetlerin bir kısmını işletme sigorta talebi ağı aracılığıyla karşılayabilir. businessinsurance.com'daki 19 Ocak tarihli bir habere göre, Target'ın en az 100 milyon dolarlık siber sigortası ve 65 milyon dolarlık yönetici ve memur sorumluluk sigortası var.

    6 Şubat, 15:33 ET Güncellemesi: Fazio Mechanical Services, bir halkla ilişkiler şirketi aracılığıyla resmi bir açıklama yayınladı ve "Target ile olan veri bağlantısının yalnızca elektronik faturalandırma, sözleşme gönderimi ve proje yönetimi için olduğunu" belirtti. Tüm açıklamaları aşağıdadır:

    Fazio Mechanical Services, Inc., gizli müşteri verilerinin ve bilgilerinin güvenliğinin sağlanmasına büyük önem vermektedir. İhlalin teknik nedenleriyle ilgili devam eden federal soruşturma hakkında yorum yapamasak da, bu konuyla ilgili önemli gerçekleri açıklığa kavuşturmak istiyoruz:

    – Fazio Mechanical, Target için ısıtma, soğutma ve soğutma sistemlerinin uzaktan izlenmesini veya kontrolünü yapmaz.

    – Target ile olan veri bağlantımız yalnızca elektronik faturalandırma, sözleşme gönderimi ve proje yönetimi içindir ve Target, bu süreçleri uzaktan yönettiğimiz tek müşteridir. Başka hiçbir müşteri ihlalden etkilenmemiştir.

    – BT sistemimiz ve güvenlik önlemlerimiz sektör uygulamalarıyla tam uyumludur.

    Target gibi biz de sofistike bir siber saldırı operasyonunun kurbanıyız. İhlalin olası nedenini belirlemek ve müşteri/tedarikçi bağlantılarının güvenliğini daha da artırarak gelecekteki ihlallere karşı daha az savunmasız hale getirmek için proaktif girişimler oluşturmaya yardımcı olmak için Gizli Servis ve Target ile tam olarak iş birliği yapıyoruz.

    Kaydol ya da oturum aç

    Yorumlar