Η κακόφημη παραβίαση ασφαλείας Target που εξέθεσε τις οικονομικές και προσωπικές πληροφορίες δεκάδων εκατομμυρίων Αμερικανών στα τέλη του περασμένου έτους ήταν το αποτέλεσμα της αποτυχίας της εταιρείας να διατηρήσει τις λειτουργίες ρουτίνας και τις λειτουργίες συντήρησης σε ξεχωριστό δίκτυο από τις κρίσιμες λειτουργίες πληρωμής, ερευνητής Brian Krebs, ο οποίος ανέφερε για πρώτη φορά την παραβίαση τον Δεκέμβριο.
Ο στόχος της περασμένης εβδομάδας αποκάλυψε στο The Wall Street Journal ότι η αρχική παραβίαση του δικτύου της εντοπίστηκε για να συνδεθούν οι πληροφορίες που κλέφθηκαν από έναν τρίτο προμηθευτή. Ο κ. Krebs αναφέρει τώρα ότι ο εν λόγω πωλητής ήταν η Fazio Mechanical Services, μια εταιρεία που εδρεύει στο Sharpsburg και η οποία συνεργάστηκε με την Target για την εγκατάσταση και τη συντήρηση ψυκτικού και HVAC. Ο πρόεδρος της Fazio, Ross Fazio, επιβεβαίωσε ότι η εταιρεία επισκέφθηκε η αμερικανική μυστική υπηρεσία στο πλαίσιο της έρευνας, αλλά δεν έχει ακόμη προβεί σε δημόσιες δηλώσεις σχετικά με την αναφερόμενη συμμετοχή των διαπιστευτηρίων σύνδεσης που έχουν ανατεθεί στους υπαλλήλους της.
Οι υπάλληλοι της Fazio έλαβαν απομακρυσμένη πρόσβαση στο δίκτυο της Target για να παρακολουθήσουν παραμέτρους όπως η κατανάλωση ενέργειας και οι θερμοκρασίες ψύξης. Αλλά επειδή ο Target δεν κατάφερε να χωρίσει το δίκτυό του, αυτό σήμαινε ότι οι γνωστοί χάκερ θα μπορούσαν να χρησιμοποιήσουν τα ίδια απομακρυσμένα διαπιστευτήρια τρίτων για να έχουν πρόσβαση στους εξυπηρετητές εξυπηρέτησης σημείου πώλησης (POS) του λιανοπωλητή. Οι ακόμα άγνωστοι χάκερ εκμεταλλεύτηκαν αυτήν την ευπάθεια για να μεταφορτώσουν κακόβουλο λογισμικό στην πλειοψηφία των συστημάτων POS της Target, τα οποία στη συνέχεια κατέλαβαν τις πληρωμές και τις προσωπικές πληροφορίες μέχρι 70 εκατομμυρίων πελατών που αγόραζαν στο κατάστημα μεταξύ τέλους Νοεμβρίου και μέσου Δεκεμβρίου.
Αυτή η αποκάλυψη έχει θέσει υπό αμφισβήτηση τον χαρακτηρισμό της εκδήλωσης από τα στελέχη της Target ως μια περίπλοκη και απρόβλεπτη κλοπή στον κυβερνοχώρο. Αν και το κακόβουλο λογισμικό που φορτώθηκε ήταν πράγματι πολύ περίπλοκο και ενώ οι υπάλληλοι της Fazio μοιράζονται κάποια ευθύνη για να επιτρέψουν την κλοπή των διαπιστευτηρίων σύνδεσης, παραμένει το γεγονός ότι οποιαδήποτε προϋπόθεση θα είχε αποσταθεροποιηθεί εάν ο Target είχε ακολουθήσει τις οδηγίες ασφάλειας και έσπασε το δίκτυό του, από δίκτυα που επιτρέπουν σχετικά ευρεία πρόσβαση.
Η Jody Brazil, ιδρυτής και ΚΟΤ της εταιρείας ασφαλείας FireMon, εξήγησε στην Computerworld : "Δεν υπάρχει τίποτα φανταχτερό. Ο στόχος επέλεξε να επιτρέψει την πρόσβαση τρίτων στο δίκτυό του, αλλά απέτυχε να διασφαλίσει σωστά την πρόσβαση. "
Εάν άλλες εταιρείες αποτυγχάνουν να μάθουν από τα λάθη του Target, οι καταναλωτές μπορούν να περιμένουν ακόμα περισσότερες παραβιάσεις που θα ακολουθήσουν. Ο Stephen Boyer, ο CTO και συνιδρυτής της επιχείρησης διαχείρισης κινδύνου BitSight, εξήγησε: "Στον σημερινό υπερ-δικτυωμένο κόσμο, οι εταιρείες συνεργάζονται με όλο και περισσότερους επιχειρηματικούς συνεργάτες με λειτουργίες όπως η συλλογή και η επεξεργασία των πληρωμών, η κατασκευή, η πληροφορική και οι ανθρώπινοι πόροι. Οι χάκερ βρίσκουν το πιο αδύναμο σημείο εισόδου για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες και συχνά αυτό το σημείο βρίσκεται μέσα στο οικοσύστημα του θύματος. "
Ο στόχος δεν έχει ακόμη διαπιστωθεί ότι παραβίασε τα πρότυπα ασφαλείας της βιομηχανίας καρτών πληρωμών (PCI) ως αποτέλεσμα της παραβίασης, αλλά ορισμένοι αναλυτές προβλέπουν προβλήματα στο μέλλον της εταιρείας. Ενώ συνιστάται ιδιαίτερα, τα πρότυπα PCI δεν απαιτούν από τους οργανισμούς να κατανείμουν τα δίκτυά τους μεταξύ λειτουργιών πληρωμής και μη πληρωμής, αλλά παραμένει κάποια ερώτηση σχετικά με το αν η πρόσβαση τρίτων μερών του Target χρησιμοποίησε έλεγχο ταυτότητας δύο παραγόντων, πράγμα που αποτελεί προϋπόθεση. Οι παραβιάσεις των προτύπων PCI μπορούν να οδηγήσουν σε μεγάλα πρόστιμα και ο αναλυτής της Gartner, Avivah Litan, είπε στον κ. Krebs ότι η εταιρεία θα μπορούσε να επιβληθεί ποινές ύψους έως 420 εκατομμυρίων δολαρίων για την παραβίαση.
Η κυβέρνηση έχει επίσης αρχίσει να ενεργεί ως απάντηση στην παραβίαση. Η κυβέρνηση Ομπάμα αυτή την εβδομάδα συνέστησε την υιοθέτηση αυστηρότερων νόμων για την ασφάλεια στον κυβερνοχώρο, επιβάλλοντας αυστηρότερες ποινές για παραβάτες καθώς και ομοσπονδιακές απαιτήσεις για επιχειρήσεις να ενημερώνουν τους πελάτες τους λόγω παραβιάσεων της ασφάλειας και να ακολουθούν ορισμένες ελάχιστες πρακτικές όσον αφορά τις πολιτικές για τα δεδομένα στον κυβερνοχώρο.
