Video: Target, Neiman Marcus and other security breaches: Organized crime? (September 2024)
Angriparna bakom Targts kreditkortsöverträdelse gick också efter kunder hos andra återförsäljare runt om i landet, inklusive den avancerade detaljhandlaren Neiman Marcus. Kanske är det dags att gå tillbaka till att bara använda kontanter.
Köpare som redan är jitteriga efter att Target rapporterade ett kreditkortsbrott under semestersäsongen står nu inför utsikterna att attackerna var mycket mer utbredda än vad som ursprungligen trott. Det verkar som om Target inte var den enda återförsäljaren som drabbades av detta intrång, eftersom Neiman Marcus och minst tre andra återförsäljare upplevde liknande incidenter under samma tidsperiod, rapporterade Reuters. Säkerhetsexperter har länge varnat för att banker, kreditkortsprocessorer och återförsäljare inte vidtar de nödvändiga åtgärderna för att säkra betalkortdata och personlig information, vilket gör att kunder är sårbara för bedrägeri och identitetsstöld.
"Effekterna av Target-överträdelsen och andra återförsäljare under liknande omständigheter (och ännu inte helt avslöjade) kan ha långtgående effekter på konsumenternas förtroende och påverkan på den amerikanska ekonomin om inte åtgärder vidtas för att ta itu med denna sårbarhet omedelbart, " säger Anup Ghosh, grundare och VD för säkerhetsföretaget Invincea.
Fler hittade offer
Neiman Marcus upptäckte sitt överträdelse den 1 januari, efter att ha fått rapporter från en kreditkortsprocessor om möjliga obehöriga avgifter på konton för personer som hade handlat i dess butiker, rapporterade säkerhetsskribenten Brian Krebs. Attacken verkar vara i mindre skala, med färre än en miljon kort komprometterade.
Medan Krebs inte var säker på om detta överträdelse var relaterat till attacken mot Target, berättade källor Reuters att incidenten använde liknande tekniker och kunde kopplas. Liksom Target, sa Neiman Marcus att bara kunder som använde sina kort i butiken påverkades, inte online-shoppare.
Target rapporterade initialt att 40 miljoner köpare som använde sitt kreditkort på en av dess butiker under semestershoppsäsongen drabbades av ett kreditkortsbrott. Förra veckan erkände Target: s vd att överträdelsen var större än ursprungligen trott, eftersom personuppgifter från minst 70 miljoner kunder, inklusive namn, postadresser, telefonnummer och e-postadresser också stulits. Det kan finnas viss överlappning hos kunder mellan de första 40 miljoner och de senare 70 miljoner, men Target kunde inte säga hur många som räknades två gånger. Target medgav också att alla amerikanska shoppare under 2013 riskerade, inte bara de som besökte butiken under semestern.
Frågor, men inga svar
Undersökningen är fortfarande i början, så det finns fler frågor än svar på denna punkt. Detta ger en helt ny uppsättning utmaningar, säger säkerhetsexperter.
Just nu är den stora frågan: "Påverkas jag?" och det är svårt att säga. Reuters sade att tre andra återförsäljare för närvarande undersöker, men hade inte offentliggjort offentliggörandet av överträdelsen just nu. Det är också möjligt att det fanns andra, mindre, överträdelser tidigare 2013, som fortfarande inte har publicerats.
"Alla återförsäljare bör göra fel vid sidan av att avslöja alla konsumenter som kan drabbas och samtidigt avslöja vad de vet om brottet och hur det hände, " sade Ghosh.
Neiman Marcus sa att det meddelar kunder som hade bedrägliga transaktioner bokfört till sina konton, men detta lämnar många konsumenter som handlade i butikerna undrar och väntar på dåliga nyheter. Det skapar vad en expert kallar "datasäkerhetslimbo", eftersom användare är medvetna om ett brott men inte kan vidta några åtgärder förrän de får bekräftelse. Target sade också att det meddelade kunder om att personuppgifter stulits om en e-postadress fanns.
Denna typ av selektiv anmälan öppnar ett fönster av möjligheter för angripare att starta sekundära attacker, säger Angel Grant, chef för bedrägeribestämmelser vid RSA. Angripare kan dra nytta av förvirringen för att skicka ut e-postmeddelanden eller till och med ringa telefonsamtal till bedrägeribrukare för att avslöja sin personliga information och information om betalkort. Användare måste vara vaksamma för uppföljning av nätfiskeförsök efter detta intrång.
Tystnad är farligt
Det är förståeligt att vilja hålla informationen nära till dess att utredningen är klar, men det hjälper inte andra återförsäljare. Target diskuterar inte vad som hände, och Neiman Marcus är ännu närmare på de metoder som angriparna kan ha använt. Just nu har Target erkänt att programvaran för försäljning komprometterades, och Reuters citerar källor som säger att angriparna använde en RAM-skrapa, en typ av skadlig programvara som fångar tillfälliga data i datorns minne. Det har skett en kraftig ökning av attacker med minne som analyserar skadlig programvara nyligen, och Visa gav även till och med varningar med teknisk information om hur man kan motverka dessa typer av attacker förra året.
Även om det inte var klart om Target eller andra återförsäljare hade implementerat någon av metoderna för att försvara sig mot dessa attacker, sa källor till Reuters att angriparna var mycket mer sofistikerade och skulle ha kunnat kringgå dessa åtgärder. Baserat på det faktum att personlig information var stulen, var det mer än troligt att Targets överträdelse var "en mer utbredd kompromiss av Targets nätverk än bara PoS-maskiner, " sade Ghosh.
Återförsäljare undersöker troligen sina nätverk och försöker ta reda på om de också har drabbats. Det är här informationsdelning mellan återförsäljare skulle vara till hjälp.
När det gäller dig och mig, kanske vi borde ha kontanter för tillfället. Det är säkrare, och det enda du behöver oroa dig för är fickfickor.
