Theo thông tin từ bảo mật, vụ vi phạm an ninh mục tiêu khét tiếng đã làm lộ thông tin tài chính và thông tin cá nhân của hàng chục triệu người Mỹ vào cuối năm ngoái là kết quả của việc công ty không giữ các hoạt động thường xuyên và chức năng bảo trì trên một mạng riêng biệt khỏi các chức năng thanh toán quan trọng. nhà nghiên cứu Brian Krebs, người đầu tiên báo cáo vi phạm vào tháng 12.
Target tuần trước tiết lộ với Tạp chí Phố Wall rằng vi phạm ban đầu của mạng được truy nguyên thông tin đăng nhập bị đánh cắp từ một nhà cung cấp bên thứ ba. Ông Krebs hiện báo cáo rằng nhà cung cấp đang được đề cập là Fazio Mechanical Services, một công ty có trụ sở tại Sharpsburg, PA đã ký hợp đồng với Target để cung cấp dịch vụ lắp đặt và bảo trì điện lạnh và HVAC. Chủ tịch Fazio Ross Fazio xác nhận rằng công ty đã được Cơ quan Mật vụ Hoa Kỳ ghé thăm như một phần của cuộc điều tra, nhưng chưa đưa ra bất kỳ tuyên bố công khai nào về sự liên quan được báo cáo của thông tin đăng nhập được gán cho nhân viên của mình.
Nhân viên Fazio đã được cấp quyền truy cập từ xa vào mạng của Target để theo dõi các thông số như mức sử dụng năng lượng và nhiệt độ làm lạnh. Nhưng vì Target đã thất bại trong việc phân chia mạng của mình, điều đó có nghĩa là các tin tặc có hiểu biết có thể sử dụng các thông tin xác thực từ xa của bên thứ ba đó để truy cập các máy chủ điểm bán hàng (POS) nhạy cảm của nhà bán lẻ. Các tin tặc chưa được biết đến đã lợi dụng lỗ hổng này để tải phần mềm độc hại lên phần lớn các hệ thống POS của Target, sau đó đã chiếm được khoản thanh toán và thông tin cá nhân của tới 70 triệu khách hàng mua sắm tại cửa hàng từ cuối tháng 11 đến giữa tháng 12.
Tiết lộ này đã đặt ra nghi ngờ về đặc tính của sự kiện bởi các giám đốc của Target là một vụ trộm cắp tinh vi và không lường trước được. Mặc dù phần mềm độc hại được tải lên thực sự khá phức tạp và trong khi các nhân viên của Fazio chia sẻ một số lỗi cho phép đánh cắp thông tin đăng nhập, thì thực tế vẫn là một trong hai điều kiện sẽ được đưa ra nếu Target tuân theo các nguyên tắc bảo mật và phân chia mạng của nó để giữ máy chủ thanh toán cách ly từ các mạng cho phép truy cập tương đối rộng.
Jody Brazil, người sáng lập và CTO của công ty bảo mật FireMon, đã giải thích với Computerworld , không có gì lạ mắt. Target đã chọn cho phép bên thứ ba truy cập vào mạng của mình, nhưng không bảo mật chính xác quyền truy cập đó.
Nếu các công ty khác không học hỏi từ những sai lầm của Target, người tiêu dùng có thể mong đợi nhiều vi phạm hơn nữa sẽ xảy ra. Stephen Boyer, CTO và đồng sáng lập công ty quản lý rủi ro BitSight, giải thích, trong thế giới siêu kết nối ngày nay, các công ty đang làm việc với ngày càng nhiều đối tác kinh doanh với các chức năng như thu thập và xử lý thanh toán, sản xuất, CNTT và nhân sự. Tin tặc tìm thấy điểm xâm nhập yếu nhất để có quyền truy cập vào thông tin nhạy cảm và thường thì điểm đó nằm trong hệ sinh thái của nạn nhân.
Target vẫn chưa bị phát hiện vi phạm các tiêu chuẩn bảo mật của ngành thẻ thanh toán (PCI) do vi phạm, nhưng một số nhà phân tích đã thấy trước sự cố trong tương lai của công ty. Mặc dù rất được khuyến nghị, các tiêu chuẩn PCI không yêu cầu các tổ chức phân chia mạng của họ giữa các chức năng thanh toán và không thanh toán, nhưng vẫn còn một số câu hỏi là liệu quyền truy cập của bên thứ ba của Target có sử dụng xác thực hai yếu tố hay không, đó là một yêu cầu. Vi phạm các tiêu chuẩn PCI có thể dẫn đến các khoản tiền phạt lớn, và nhà phân tích Gartner, ông Manilaah Litan nói với ông Krebs rằng công ty có thể phải đối mặt với mức phạt lên tới 420 triệu USD do vi phạm.
Chính phủ cũng đã bắt đầu hành động để đối phó với vi phạm. Chính quyền Obama trong tuần này đã khuyến nghị áp dụng luật an ninh mạng cứng rắn hơn, đưa ra cả hai hình phạt khắc nghiệt hơn cho những người phạm tội cũng như các yêu cầu của liên bang để các công ty thông báo cho khách hàng sau khi vi phạm an ninh và tuân theo các chính sách tối thiểu nhất định khi nói đến chính sách dữ liệu mạng.
