“鍵盤記錄器”后門揭零售業數據泄露疑云
責編:admin |2014-09-03 14:45:20支付卡行業安全標準(PCI)統計數據顯示,今年以來攻擊美國零售業網絡系統的“backoff”,是一款“鍵盤記錄器”后門木馬程序,迄今已感染了1000余家美國零售商。
PCI委員會周三發表了一份公告,敦促零售商立即對其安全控制系統進行評估,并確保零售商的POS系統能夠有效抵御“鍵盤記錄器”這款曾用于去年零售商Target數據泄露事件的惡意軟件工具。
公告明確指示所有涉事零售商必須及時更新殺毒軟件套裝,并更改默認密碼和員工密碼來保證關鍵的支付系統和應用程序的訪問安全。同時,PCI委員會也敦促商家檢查系統日志中異常及原因不明的活動,特別是那些涉及轉移到未知位置的大型數據集。
PCI委員會另外還建議商家,考慮PCI許可的交互點(POI)設備如何在支付終端刷卡時能夠實現加密信用卡和借記卡數據。商家還應該考慮部署點對點加密技術以確保卡內數據仍然得到有力保護,直到數據接收到一個安全的解密工具,專家指出。
公告反映了自此次黑客使用“鍵盤記錄器”后門程序從POS系統竊取支付卡數據這一嚴重的數據泄露事件后,大眾對于支付行業數據安全的日益關注,
事實上,此惡意軟件在去年10月就已經出現,但直到本月才被檢測出來。
美國國土安全部和美國特勤局表示,“鍵盤記錄器”已經感染了1000多家大中小型企業的POS系統,包括美國著名的超市Target和商場Neiman Marcus。僅Target數據泄露事故中,就有超過4000萬的信用卡付款數據信息遭泄漏,而Neiman Marcus則有110萬信用卡的數據被竊取。
在上周發布的一份公報中,國土安全部和特勤局表示,他們對過去一年涉及“鍵盤記錄器”此后門的“大數額事件”過已經做出反應。到目前為止,POS系統的七家供應商均已證實,多數客戶均受到了此惡意軟件的影響,公告指出。
國土安全部和特勤局在7月警告零售商關于Target嚴重數據泄露事件是源于“鍵盤記錄器”后門,隨后PCI委員會便于上周發布公告。公告警示說,攻擊者還會利用常用的企業遠程訪問工具進入零售POS系統,并植入“鍵盤記錄器”此惡意軟件程序。
PCI公告已經引發了共識(+微信關注網絡世界),那就是惡意軟件的傳播范圍比先前認為的更加廣泛,獨立的PCI安全顧問James Huguelet表示。
所有的PCI委員會公報中概述的步驟都是安全標準措施,Huguelet說。“但有時非常有必要類似這樣的一記警鐘提醒大家支付系統的數據處理鏈安全是何等重要。”
有趣的是,PCI委員會之前的公告總是會特別提到支付卡數據端到端的加密,Huguelet說。執行端到端的加密將完全消除付款程序鏈中“鍵盤記錄器”帶來的威脅,但到目前為止,零售商還沒有邁出這一步。
Gartner分析師Avivah Litan認為,公告可能不會存在太大的意義。“傷害已經造成,PCI合規流程并未阻止這種攻擊”她說。“它沒有新的規則或規定,PCI公告只是試圖證明‘鍵盤記錄器’和連續發生的數據泄露事件是相關的,并且證明他們已經有了防止此類惡性事件再度發生的能力,”她說。
僅僅要求零售商遵守PCI合規并不足以減輕支付系統風險,Litan補充道。“PCI委員會和銀行卡分支網點,銀行,付款處理器都需要強有力的安全舉措使支付系統更加有保障,并停止將所有責任在推卸給零售商來修補本來就有缺陷的系統。”