資安專家：Target資料外洩肇因於網釣郵件

資安部落客Brian Krebs指出，美國第二大折扣連鎖商店Target在去年12月遭到駭客入侵並造成1.1億的客戶資料外洩事件，起因可能只是一封夾帶惡意程式的電子郵件，第一個受到感染的對象並非Target，而是Target的冷藏系統服務供應商Fazio Mechanical。

Krebs的消息來源是參與這起美國史上最大資料外洩案的調查人員，指出Fazio員工收到一封含有惡意程式的網路釣魚郵件，因而感染了專門偷竊密碼的Citadel木馬程式，並於兩個月後開始透過Target的收銀機竊取客戶資訊。

Fazio亦很快地發表聲明，澄清他們跟Target一樣都是網路攻擊的受害者，與Target的資料連結僅限於電子帳單、合約的提交，與專案管理。而Target也是他們唯一透過遠端管理上述程序的客戶，並沒有其他客戶受到影響，另也強調該公司的IT系統與安全措施完全符合產業作法。

Target安全團隊的前成員向Krebs表示，Target的所有承包商都是透過Ariba外部帳單系統連結，當承包商登入Ariba並完成所有必要的請款步驟後，Target便會付款，揣測是Target的管理人員使用了承包商的Active Directory憑證登入了Ariba伺服器，才導致外部與Target的內部網路有所連結。

不過，由於此案仍在調查中，因此不論是Target或Fazio都未公布調查進度或細節，也不願證實相關報導，然而，此事若因Target未遵循支付卡產業的安全標準而起，已面臨集體訴訟的Target可能還要背負龐大的罰款。（編譯/陳曉莉）