就在2013年Target數(shù)據(jù)泄漏的幾天后,該零售商從電信巨頭Verizon請了一名安全顧問來執(zhí)行公司安全漏洞的內(nèi)部調(diào)查。現(xiàn)在,調(diào)查出的漏洞已由一份內(nèi)部報告公開出來……
Target數(shù)據(jù)泄漏事故因其影響范圍之廣(超過1億的用戶信用卡、卡號、戶主、地址、郵件地址以及電話統(tǒng)統(tǒng)曝光)而成為信息安全史上的一座里程碑。雖然最初的入侵點是一個為攻擊者所入侵的第三方HVAC供應商,但Target數(shù)據(jù)泄漏報告顯示,一旦攻擊者獲得企業(yè)網(wǎng)絡的訪問權,將沒有什么能夠真正阻止他們通過網(wǎng)絡并獲取未經(jīng)授權的訪問。
新的報告揭示Target原有許多安全漏洞,包括使用較弱的及默認的密碼,這些密碼存儲在多個服務器的一個文件中。根據(jù)報告的說法,一經(jīng)接入,Verizon的安全顧問得以進入內(nèi)部網(wǎng)絡,甚至作為系統(tǒng)管理員在網(wǎng)絡中自由移動。一周內(nèi),Verizon顧問能破解Target547,470個密碼。
Verizon根據(jù)密碼長度、基本單詞、數(shù)字和大小寫字母對公司的密碼復雜度進行了排列,令人震驚的是,許多人共享相同的密碼。根據(jù)報告顯示,有4312人使用“Jan3009#”;3834人使用“sto$res1”;3762人使用 “train#5”等等。那些沒有使用相同密碼,不過卻包含相同的基詞:8670個密碼使用“target";3050個密碼使用 “summer”;3840個密碼使用“train"。使用相同單詞、符號和數(shù)字的密碼越多,破解多個密碼就越容易。
Verizon顧問指出Target的系統(tǒng)運行在過時的Web服務器軟件上,要不就是缺少重要的安全補丁。
根據(jù)報告顯示,在接下來14年2月進行的外部滲透測試中,修復并未完全解決漏洞,不過之后修復過程有了重大改進。Target做出積極的改變,保護公司的基礎設施,檢測并封堵外部威脅。為了應對13的數(shù)據(jù)泄漏事故,Target實施了額外的網(wǎng)絡安全措施,成立“網(wǎng)絡融合中心”以應對潛在的攻擊和風險。
目前,Target對該報告的真實性未置一辭。
在Target泄漏事故中,被偷的信用卡估計價值4億美元。此外,Target為客戶集體訴訟賠付1000萬美元,并為信用卡和萬事達卡的重啟問題搭上更多。
京公網(wǎng)安備 11010502049343號