كان الانتهاك الأمني المستهدف الذي كشف المعلومات المالية والشخصية لعشرات الملايين من الأمريكيين في أواخر العام الماضي نتيجة فشل الشركة في الحفاظ على عملياتها الروتينية ووظائف الصيانة على شبكة منفصلة عن وظائف الدفع المهمة ، وفقًا للمعلومات الواردة من الأمان الباحث براين كريبس ، الذي أبلغ عن الاختراق لأول مرة في ديسمبر.
كشف الهدف الأسبوع الماضي لصحيفة وول ستريت جورنال أن الانتهاك الأولي لشبكتها قد تم تتبعه لتسجيل الدخول إلى المعلومات المسروقة من أحد البائعين الخارجيين. أبلغ السيد كريبس الآن أن البائع المعني كان Fazio Mechanical Services ، وهي شركة مقرها Sharpsburg ، مقرها PA تعاقدت مع Target لتوفير التبريد وصيانة HVAC وصيانتها. أكد رئيس فازيو روس فازيو أن الخدمة السرية الأمريكية قد زارت الشركة كجزء من التحقيق ، لكنه لم يصدر أي بيانات عامة حول تورط أوراق اعتماد تسجيل الدخول المخصصة لموظفيه.
تم منح موظفي Fazio الوصول عن بعد إلى شبكة Target لمراقبة المعلمات مثل استخدام الطاقة ودرجات حرارة التبريد. ولكن نظرًا لفشل Target في تقسيم شبكتها ، فهذا يعني أن المتسللين ذوي المعرفة يمكن أن يستخدموا نفس بيانات اعتماد الطرف الثالث للوصول إلى خوادم نقاط البيع الحساسة لبائع التجزئة. استغل المتسللون الذين ما زالوا مجهولين هذه الثغرة لتحميل البرامج الضارة إلى غالبية أنظمة نقاط البيع الخاصة بـ Target ، والتي استولت بعد ذلك على الدفعة والمعلومات الشخصية لما يصل إلى 70 مليون عميل قاموا بالتسوق في المتجر بين أواخر نوفمبر ومنتصف ديسمبر.
هذا الوحي قد شكك في وصف الحدث من قبل المديرين التنفيذيين الهدف باعتباره سرقة الإنترنت متطورة وغير متوقعة. على الرغم من أن البرامج الضارة التي تم تحميلها كانت معقدة للغاية بالفعل ، وبينما يتقاسم موظفو Fazio بعض اللوم على السماح بسرقة بيانات اعتماد تسجيل الدخول ، تظل الحقيقة هي أن كلا الشرطين كان من الممكن تقديمهما إذا كانت Target قد اتبعت إرشادات الأمان وجزأت شبكتها للحفاظ على خوادم الدفع معزولة من الشبكات التي تسمح بالوصول واسع نسبيا.
أوضح جودي برازيل ، مؤسس شركة CTM للأمن FireMon ، لشركة Computerworld ، "لا يوجد شيء خيالي. اختار الهدف السماح لطرف ثالث بالوصول إلى شبكته ، لكنه فشل في تأمين الوصول بشكل صحيح. "
إذا فشلت الشركات الأخرى في التعلم من أخطاء Target ، فيمكن للمستهلكين توقع مزيد من الانتهاكات التي يجب اتباعها. وأوضح ستيفن بوير ، CTO والمؤسس المشارك لشركة إدارة المخاطر BitSight ، "في عالم اليوم شديد الترابط ، تعمل الشركات مع المزيد من الشركاء التجاريين مع وظائف مثل جمع المدفوعات والمعالجة والتصنيع وتكنولوجيا المعلومات والموارد البشرية. يجد المتسللون أضعف نقطة دخول للوصول إلى المعلومات الحساسة ، وغالبًا ما تكون هذه النقطة ضمن النظام البيئي للضحية. "
لم يتم العثور على Target بعد انتهاكًا لمعايير الأمان الخاصة بصناعة بطاقات الدفع نتيجة للانتهاك ، لكن بعض المحللين يتوقعون حدوث مشكلة في مستقبل الشركة. على الرغم من أنه يوصى بشدة ، فإن معايير PCI لا تتطلب من المؤسسات تقسيم شبكاتها بين وظائف الدفع وغير الدفع ، ولكن لا يزال هناك بعض التساؤلات حول ما إذا كان وصول الطرف الثالث إلى Target قد استخدم مصادقة ثنائية عامل ، وهو أمر ضروري. يمكن أن تؤدي انتهاكات معايير PCI إلى غرامات كبيرة ، وقد أبلغت المحلل في Gartner Avivah Litan السيد Krebs أن الشركة قد تواجه عقوبات تصل إلى 420 مليون دولار على الخرق.
كما بدأت الحكومة في التحرك رداً على الانتهاك. أوصت إدارة أوباما هذا الأسبوع باعتماد قوانين أكثر تشددًا للأمن السيبراني ، مما يفرض عقوبات أشد على الجناة وكذلك المتطلبات الفيدرالية للشركات لإخطار العملاء في أعقاب الخروقات الأمنية واتباع بعض الممارسات الدنيا عندما يتعلق الأمر بسياسات البيانات الإلكترونية.
