Target上亿用户信息泄漏 调查历时两年终揭谜底

Talos  1808天前

    Target数据泄漏.jpg

Target数据泄漏事件发生在2013年,泄露数据导致超过1亿用户的信用卡、卡号、户主、地址、邮件地址以及电话被曝光,被偷信用卡估计价值4亿美元,影响范围极广,损失惨重,成为信息安全领域中无法磨灭的一段历史。

数据泄露事件使得Target为客户集体诉讼赔付1000万美元,并在信用卡和万事达卡的重启问题上赔付更多。(延伸:隐私数据如此重要,如何确保网站用户隐私信息安全?)

Target数据泄漏事件发生的几天后,该零售商便从电信巨头Verizon请来一名安全顾问来执行公司安全漏洞的内部调查。不知是问题过于复杂,还是有其他原因,该调查一直持续了两年,直至前日,调查出的漏洞通过一份内部报告公开出来。

Target数据泄漏报告显示:虽然最初的入侵点是一个为攻击者所入侵的第三方HVAC供应商,但一旦攻击者获得企业网络的访问权,将没有什么能够阻止他们通过网络获取未经授权的访问。

报告揭示Target原有许多安全漏洞,包括使用较弱的默认密码,而这些密码存储在多个服务器的一个文件中。根据报告的解释,一经接入,Verizon的安全顾问就可以进入内部网络,甚至作为系统管理员在网络中自由移动。一周内,Verizon顾问能够破解Target54,7470个密码。

Verizon根据密码长度、基本单词、数字和大小写字母对公司的密码复杂度进行了排列。令人震惊的是,许多人共享相同的密码。根据报告显示,有4312人使用“Jan3009#”;3834人使用“sto$res1”;3762人使用 “train#5”等等。那些没有使用相同密码、但却包含相同基词的情况分别是:8670个密码使用“target”;3050个密码使用 “summer”;3840个密码使用“train”。使用相同单词、符号和数字的密码越多,破解多个密码就越容易。

Verizon顾问指出:Target的系统运行在过时老旧的Web服务器软件上,再次就是缺少重要的安全补丁。

根据报告显示,在接下来14年2月进行的外部渗透测试中,修复但并未完全解决漏洞,不过之后修复过程有了重大改进。

Target做出积极的改变,保护公司的基础设施,检测并封堵外部威胁。为了应对13的数据泄漏事故,Target实施了额外的网络安全措施,成立“网络融合中心”以应对潜在的攻击和风险。

对于历时两年才公布的调查报告,目前Target并未对其真实性做出回应。

Target简介:

2000年1月,戴顿赫德森公司(1962年成立)更名为塔吉特(Target)公司。Target公司位于明尼苏达州明尼阿波利斯美市,在美国47州设有1,330家商店,为客户提供当今时尚前沿的零售服务,物美价廉。不管是在Target商店还是在线网站,客户都能从数千件风格独特的商品中作出选择,享受到乐趣横生、简单方便的购物体验。公司每周都要通过捐赠和其它一些活动把200万美元回馈给当地社区。自1962 年开设第一家商店以来,Target公司已与许多非赢利组织、客户和组织成员合作来帮助满足各地社区的需要。

多年来,互联网数据泄露事件不断发生,给个人、企业乃至国家带来了巨大的财产损失和安全威胁。政府机构、企业和个人都要对隐私信息安全问题引起足够重视,加强对隐私信息的保护,采取必要的防范措施来减少甚至杜绝隐私信息泄露。美国要求政府网站全部HTTPS加密,谷歌、火狐、百度鼓励站点启用HTTPS来加密网站数据防泄漏就是值得学习的典范。


来源:沃通

本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论