Det beryktede brudd på Target-sikkerheten som utsatte de økonomiske og personlige opplysningene til titalls millioner amerikanere sent i fjor, var et resultat av selskapets manglende opprettholdelse av rutinemessige operasjoner og vedlikeholdsfunksjoner i et eget nettverk fra kritiske betalingsfunksjoner, ifølge informasjon fra sikkerhet forsker Brian Krebs, som først rapporterte bruddet i desember.
Mål forrige uke avslørte for The Wall Street Journal at det første bruddet på nettverket ble sporet til innloggingsinformasjon stjålet fra en tredjepart-leverandør. Mr. Krebs rapporterer nå at den aktuelle leverandøren var Fazio Mechanical Services, et firma i Sharpsburg, PA, som hadde kontrakt med Target for å tilby kjøling og VVS-installasjon og vedlikehold. Fazio-president Ross Fazio bekreftet at selskapet ble besøkt av den amerikanske hemmelige tjenesten som en del av etterforskningen, men har foreløpig ikke kommet med noen offentlige uttalelser om den rapporterte involveringen av påloggingsinformasjon som ble tildelt sine ansatte.
Ansatte i Fazio fikk fjernadgang til Targets nettverk for å overvåke parametere som energibruk og kjøletemperaturer. Men fordi Target angivelig ikke klarte å segmentere nettverket, betydde det at kunnskapsrike hackere kunne bruke samme tredjeparts eksterne legitimasjon for å få tilgang til forhandlerens følsomme salgssted (POS) -servere. De fortsatt ukjente hackerne utnyttet denne sårbarheten for å laste opp skadelig programvare til de fleste av Targets POS-systemer, som deretter fanget ut betalingen og personlig informasjon til opptil 70 millioner kunder som handlet i butikken mellom slutten av november og midten av desember.
Denne avsløringen har gitt tvil om karakterisering av hendelsen av Target-ledere som et sofistikert og uventet cybertyveri. Mens den opplastede skadelige programvaren faktisk var ganske sammensatt, og mens ansatte i Fazio deler en viss skyld for å tillate tyveri av innloggingsinformasjon, er det fortsatt en av betingelsene at begge forholdene ville blitt gjort feil dersom Target hadde fulgt sikkerhetsretningslinjene og segmentert nettverket for å holde betalingsservere isolert fra nettverk som gir relativt bred tilgang.
Jody Brazil, grunnlegger og administrerende direktør for sikkerhetsfirmaet FireMon, forklarte Computerworld : “Det er ikke noe fancy med. Target valgte å tillate tredjeparts tilgang til nettverket, men klarte ikke å sikre den tilgangen på riktig måte. "
Hvis andre selskaper ikke klarer å lære av Targets feil, kan forbrukerne forvente at enda flere brudd vil følge. Stephen Boyer, CTO og medgründer av risikostyringsselskapet BitSight, forklarte: “I dagens hypernettverkverden jobber selskaper med flere og flere forretningspartnere med funksjoner som betalingsinnsamling og prosessering, produksjon, IT og menneskelige ressurser. Hackere finner det svakeste inngangspunktet for å få tilgang til sensitiv informasjon, og ofte er dette punktet innenfor offerets økosystem. ”
Det er foreløpig ikke funnet at målet har brutt sikkerhetsstandarder for betalingskortindustri (PCI) som følge av bruddet, men noen analytikere ser for seg trøbbel i selskapets fremtid. Mens PCI-standarder er sterkt anbefalt, krever ikke organisasjoner å segmentere nettverkene sine mellom betalings- og ikke-betalingsfunksjoner, men det er fortsatt et spørsmål om Targets tredjepartsadgang benyttet tofaktorautentisering, noe som er et krav. Brudd på PCI-standarder kan resultere i store bøter, og Gartner-analytikeren Avivah Litan sa til Mr. Krebs at selskapet kan få straffer på opptil 420 millioner dollar for bruddet.
Regjeringen har også begynt å handle som svar på bruddet. Obama-administrasjonen denne uken anbefalte vedtakelse av tøffere lov om nettsikkerhet, noe som førte til både strengere straffer for overgripere så vel som føderale krav om at selskaper skal varsle kunder i kjølvannet av sikkerhetsbrudd og følge visse minimumspraksis når det gjelder nettpolitikk.
