Pénztárgépeken keresztül loptak kártyaadatokat
Fokozatosan derül fény az amerikai Target áruházlánc rendkívül súlyos biztonsági incidenséről. A 40 milliós nagyságrendű kártyaadat szivárgását a cég a fizető terminálok fertőzésével hozza összefüggésbe, a azok memóriájához hozzáférve kinyerhető ugyanis a titkosított adat is.
A pénztárgépekre is sikerrel telepítettek rosszindulatú szoftvert a Target amerikai áruházláncot támadók - árulta el a vállalat elnök-vezérigazgatója, Gregg Steinhafel a CNBC-nek. A Target rendszeréből mintegy 40 millió bankkártya és elektronikus fizetőeszköz (ajándékutalvány, stb.) adatait szerezték meg a támadók, emellett pedig további 70 millió vásárló személyi adatait is sikerrel másolták le, köztük olyan információkkal mint név, postai cím, telefonszám és email-cím.
A Target nem az egyetlen áldozat, néhány nappal később a Neiman Marcus is bejelentette, hogy egy kisebb, ám hasonlóan mély támadás áldozatává vált. A Reuters értesülései szerint a Targeten és a Neiman Marcuson túl még számos más kereskedelmi lánc rendszerét is kompromittálták a karácsonyi szezonban, a hírügynökség még legalább három kisebb üzletláncnál történt súlyos biztonsági incidensről tud. A források szerint a támadásoknál hasonló, vagy azonos módszereket és eszközöket használtak, mint a már nyilvánosságra hozott esetekben és a gyanú szerint az elkövetők is azonosak lehetnek.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A Target a támadást december 15-én észlelte, akkor néhány óra alatt sikerült a különböző kártékony szoftvereket törölni a rendszerből, az esti órákra biztonságossá vált a céges hálózat - állítja Steinhafel. A cégvezető elmondása szerint az éjszakai órákban a teljes rendszert sikerült lezárni, így a hétfői nyitás után már nem szivárgott több adat. Az incidenst követő napokban a lánc a kivizsgálás elindításával és a bizonyítékok megőrzésével foglakozott, a bejelentéssel pedig a negyedik napon léptek a nyilvánosság elé, miután a telefonos ügyfélszolgálatot felkészítették a várhatóan óriási terhelésre.
Nem tudni, hogyan támadtak
Egyelőre egyik áldozat sem hozta nyilvánosságra, hogy biztonságosnak tartott rendszeréhez hogyan tudtak a támadók hozzáférni. Annyit azonban a Target elismert, hogy a bolti terminálokra a támadók sikerrel telepítettek kártékony kódot, azonban ennek pontos célja és hatása egyelőre ismeretlen. Nem zárható ki, hogy a támadók nem (elsősorban) a cég backendjét vették célba, hanem közvetlenül a fizető terminálokról szivattyúzták ki a kártyaadatokat - ez elméletben lehetséges az eszköz memóriájának megfigyelésre révén. A terminál ugyanis a háttértáron és kártyán titkosítva tárolt adatokat a saját rendszermemóriájában visszafejtve tárolja, így egy olyan szoftver, amely a memóriát teljes egészében olvasni tudja, hozzáférhet ehhez az adathoz. A Visa korábban kétszer is adott ki figyelmeztetést, 2013 áprilisában és augusztusban is tömeges memóriaalapú támadásokra hívta fel a figyelmet a kártyatársaság. A nevük elhallgatását kérő források a Reutersnek elismerték, hogy a Target esetében ilyen módszert is alkalmaztak a támadók, számos más eszköz mellett.
Súlyos problémát jelent, hogy az adatlopás áldozatává váló cégek nem mindig hozzák nyilvánosságra az adatszivárgás tényét. Jelen esetben a Target csupán azután fordult a nyilvánossághoz és adott ki figyelmeztetést, miután Brian Krebs független biztonsági szakértő a blogján leleplezte a súlyos incidenst. A Target és a JC Penney például korábban hosszú ideig hallgatott egy hasonló támadásról, a 2007-es adatlopásról csak 2009-ben kezdtek beszélni. A helyzetet súlyosbítja, hogy az adatszivárgásról a kártyatársaság és a bank is csak közvetve értesül, őket pedig titoktartási szerződés kötelezi az áldozat nevének elhallgatására.
A nyomozásnak lassan megszületnek az első eredményei is, a Reuters rendőrségi forrásai szerint a nyomok Kelet-Európába vezetnek, pontosabbat azonban egyelőre nem tudni.