Det berygtede brud på Target-sikkerheden, der udsatte de finansielle og personlige oplysninger fra titusinder af amerikanere sent i sidste år, var resultatet af virksomhedens manglende opretholdelse af rutinemæssige drift og vedligeholdelsesfunktioner på et separat netværk fra kritiske betalingsfunktioner, ifølge oplysninger fra sikkerhed forsker Brian Krebs, der først rapporterede overtrædelsen i december.
Mål i sidste uge afslørede overfor The Wall Street Journal, at det første brud på dets netværk blev sporet til login-oplysninger stjålet fra en tredjepart-leverandør. Mr. Krebs rapporterer nu, at den pågældende sælger var Fazio Mechanical Services, et firma i Sharpsburg, PA, der kontraherede med Target for at levere køling og VVS-installation og vedligeholdelse. Fazio-præsident Ross Fazio bekræftede, at virksomheden blev besøgt af den amerikanske hemmelige service som en del af efterforskningen, men har endnu ikke offentliggjort nogen erklæringer om den rapporterede involvering af loginoplysninger, der er tildelt dets ansatte.
Fazio-medarbejdere fik fjernadgang til Targets netværk til at overvåge parametre som energiforbrug og køletemperaturer. Men fordi Target angiveligt ikke lykkedes at segmentere sit netværk, betød det, at vidende hackere kunne bruge de samme tredjeparts eksterne legitimationsoplysninger til at få adgang til forhandlerens følsomme salgssted (POS) -servere. De stadig ukendte hackere drage fordel af denne sårbarhed til at uploade malware til størstedelen af Target's POS-systemer, som derefter fanges betaling og personlige oplysninger fra op til 70 millioner kunder, der handlede i butikken mellem slutningen af november og midten af december.
Denne åbenbaring har sat tvivl om, at Target-ledere har karakteriseret begivenheden som et sofistikeret og uventet cybertyveri. Mens den uploadede malware faktisk var temmelig kompliceret, og mens Fazio-medarbejdere deler en vis skyld for at tillade tyveri af login-legitimationsoplysninger, forbliver det faktum, at begge betingelser ville være blevet givet en smule, hvis Target havde fulgt sikkerhedsretningslinjerne og segmenteret sit netværk for at holde betalingsservere isoleret fra netværk, der giver relativt bred adgang.
Jody Brazil, grundlægger og CTO for sikkerhedsfirmaet FireMon, forklarede til Computerworld : ”Der er ikke noget fint ved. Target valgte at give tredjepartsadgang til sit netværk, men kunne ikke sikre denne adgang korrekt. ”
Hvis andre virksomheder ikke lærer af Targets fejl, kan forbrugerne forvente, at endnu flere overtrædelser følger. Stephen Boyer, CTO og medstifter af risikostyringsfirmaet BitSight, forklarede: ”I nutidens hyper-netværksverden arbejder virksomheder med flere og flere forretningspartnere med funktioner som betalingsindsamling og behandling, fremstilling, IT og menneskelige ressourcer. Hackere finder det svageste indgangspunkt for at få adgang til følsom information, og ofte er dette punkt inden for offerets økosystem. ”
Det er endnu ikke konstateret, at målet har overtrådt sikkerhedsstandarder for betalingskortsektoren (PCI) som følge af overtrædelsen, men nogle analytikere forventer problemer i virksomhedens fremtid. Selvom stærkt anbefales, kræver PCI-standarder ikke organisationer at opdele deres netværk mellem betalings- og ikke-betalingsfunktioner, men der er stadig et spørgsmål om, hvorvidt Targets tredjepartsadgang benyttede to-faktor-godkendelse, hvilket er et krav. Overtrædelse af PCI-standarder kan resultere i store bøder, og Gartner-analytikeren Avivah Litan fortalte Mr. Krebs, at virksomheden kunne have en sanktion på op til 420 millioner dollars for overtrædelsen.
Regeringen er også begyndt at handle som reaktion på overtrædelsen. Obama-administrationen anbefalede denne uge vedtagelse af hårdere cybersikkerhedslove, hvilket bragte både skærpede sanktioner for lovovertrædere såvel som føderale krav til virksomheder om at underrette kunder i kølvandet på sikkerhedsbrud og følge visse minimumspraksis for cyberdata-politikker.
