“鍵盤記錄器”后門揭零售業(yè)數(shù)據(jù)泄露疑云
責(zé)編:admin |2014-09-03 14:45:20支付卡行業(yè)安全標(biāo)準(zhǔn)(PCI)統(tǒng)計(jì)數(shù)據(jù)顯示,今年以來(lái)攻擊美國(guó)零售業(yè)網(wǎng)絡(luò)系統(tǒng)的“backoff”,是一款“鍵盤記錄器”后門木馬程序,迄今已感染了1000余家美國(guó)零售商。
PCI委員會(huì)周三發(fā)表了一份公告,敦促零售商立即對(duì)其安全控制系統(tǒng)進(jìn)行評(píng)估,并確保零售商的POS系統(tǒng)能夠有效抵御“鍵盤記錄器”這款曾用于去年零售商Target數(shù)據(jù)泄露事件的惡意軟件工具。
公告明確指示所有涉事零售商必須及時(shí)更新殺毒軟件套裝,并更改默認(rèn)密碼和員工密碼來(lái)保證關(guān)鍵的支付系統(tǒng)和應(yīng)用程序的訪問安全。同時(shí),PCI委員會(huì)也敦促商家檢查系統(tǒng)日志中異常及原因不明的活動(dòng),特別是那些涉及轉(zhuǎn)移到未知位置的大型數(shù)據(jù)集。
PCI委員會(huì)另外還建議商家,考慮PCI許可的交互點(diǎn)(POI)設(shè)備如何在支付終端刷卡時(shí)能夠?qū)崿F(xiàn)加密信用卡和借記卡數(shù)據(jù)。商家還應(yīng)該考慮部署點(diǎn)對(duì)點(diǎn)加密技術(shù)以確保卡內(nèi)數(shù)據(jù)仍然得到有力保護(hù),直到數(shù)據(jù)接收到一個(gè)安全的解密工具,專家指出。
公告反映了自此次黑客使用“鍵盤記錄器”后門程序從POS系統(tǒng)竊取支付卡數(shù)據(jù)這一嚴(yán)重的數(shù)據(jù)泄露事件后,大眾對(duì)于支付行業(yè)數(shù)據(jù)安全的日益關(guān)注,
事實(shí)上,此惡意軟件在去年10月就已經(jīng)出現(xiàn),但直到本月才被檢測(cè)出來(lái)。
美國(guó)國(guó)土安全部和美國(guó)特勤局表示,“鍵盤記錄器”已經(jīng)感染了1000多家大中小型企業(yè)的POS系統(tǒng),包括美國(guó)著名的超市Target和商場(chǎng)Neiman Marcus。僅Target數(shù)據(jù)泄露事故中,就有超過(guò)4000萬(wàn)的信用卡付款數(shù)據(jù)信息遭泄漏,而Neiman Marcus則有110萬(wàn)信用卡的數(shù)據(jù)被竊取。
在上周發(fā)布的一份公報(bào)中,國(guó)土安全部和特勤局表示,他們對(duì)過(guò)去一年涉及“鍵盤記錄器”此后門的“大數(shù)額事件”過(guò)已經(jīng)做出反應(yīng)。到目前為止,POS系統(tǒng)的七家供應(yīng)商均已證實(shí),多數(shù)客戶均受到了此惡意軟件的影響,公告指出。
國(guó)土安全部和特勤局在7月警告零售商關(guān)于Target嚴(yán)重?cái)?shù)據(jù)泄露事件是源于“鍵盤記錄器”后門,隨后PCI委員會(huì)便于上周發(fā)布公告。公告警示說(shuō),攻擊者還會(huì)利用常用的企業(yè)遠(yuǎn)程訪問工具進(jìn)入零售POS系統(tǒng),并植入“鍵盤記錄器”此惡意軟件程序。
PCI公告已經(jīng)引發(fā)了共識(shí)(+微信關(guān)注網(wǎng)絡(luò)世界),那就是惡意軟件的傳播范圍比先前認(rèn)為的更加廣泛,獨(dú)立的PCI安全顧問James Huguelet表示。
所有的PCI委員會(huì)公報(bào)中概述的步驟都是安全標(biāo)準(zhǔn)措施,Huguelet說(shuō)。“但有時(shí)非常有必要類似這樣的一記警鐘提醒大家支付系統(tǒng)的數(shù)據(jù)處理鏈安全是何等重要。”
有趣的是,PCI委員會(huì)之前的公告總是會(huì)特別提到支付卡數(shù)據(jù)端到端的加密,Huguelet說(shuō)。執(zhí)行端到端的加密將完全消除付款程序鏈中“鍵盤記錄器”帶來(lái)的威脅,但到目前為止,零售商還沒有邁出這一步。
Gartner分析師Avivah Litan認(rèn)為,公告可能不會(huì)存在太大的意義。“傷害已經(jīng)造成,PCI合規(guī)流程并未阻止這種攻擊”她說(shuō)。“它沒有新的規(guī)則或規(guī)定,PCI公告只是試圖證明‘鍵盤記錄器’和連續(xù)發(fā)生的數(shù)據(jù)泄露事件是相關(guān)的,并且證明他們已經(jīng)有了防止此類惡性事件再度發(fā)生的能力,”她說(shuō)。
僅僅要求零售商遵守PCI合規(guī)并不足以減輕支付系統(tǒng)風(fēng)險(xiǎn),Litan補(bǔ)充道。“PCI委員會(huì)和銀行卡分支網(wǎng)點(diǎn),銀行,付款處理器都需要強(qiáng)有力的安全舉措使支付系統(tǒng)更加有保障,并停止將所有責(zé)任在推卸給零售商來(lái)修補(bǔ)本來(lái)就有缺陷的系統(tǒng)。”
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧