Target 店內收銀臺

圖片來源: 

維基共享資源;作者:Marlith

美國參議院的商務、科學暨運輸委員會(Committee on Commerce, Science and Transportation)本周發表Target資料外洩的分析報告指出,Target錯失了許多阻檔駭客攻擊的機會,進而導致大量的資料外洩。未能妥善保存客戶資料的Target可能也已觸犯美國法令。

Target在去年的12月19日對外坦承有4000萬名客戶的信用卡資料外洩,受影響的是去年11月27日至12月18日到Target商店刷卡消費的客戶。接著於今年1月10日再披露有7000萬名客戶個資外洩,包含姓名、地址、電話號碼與電子郵件帳號,使外洩規模擴大至1.1億名客戶資料。Target隨後證實該公司的POS終端設備被植入了惡意程式,因而外洩交易卡片上的資訊。

根據調查,駭客是先寄送網釣郵件予Target的冷藏服務供應商Fazio,進而存取Target內部網路,並分別在去年的11月15日與11月28日就在少數的Target終端植入惡意程式,一直到11月30日才感染大量的POS設備。報告指出,這意味著駭客從11月就一直維繫著外部網路與Target內部網路的通訊,而且把Target的資料傳輸到外部的伺服器上,且至少有一台伺服器位於俄國,然而Target還輕忽了防毒軟體釋出的警訊。

委員會認為,Target在駭客一連串的攻擊行動中錯失了許多可阻止釀成大禍的機會,並列出了Target的缺失,包括允許第三方業者存取Target網路,但第三方卻未遵循應有的資安作法;沒有適當回應防毒軟體的自動提醒;沒有將最重要的客戶機密資訊獨立保存;忽視防毒軟體的多次警告而讓駭客把資料移出內部網路。

外電取得了Target財務長John Mulligan的聲明,指出Target現在正在研究,若當時有不同的判斷是否會有不一樣的結果。

現在Target除了面臨來自客戶的數十起官司外,外界認為Target可能也會因未能妥善保護客戶資料而遭到美國聯邦交易委員會的控告。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容