Det ökända Målsäkerhetsöverträdelsen som avslöjade finansiell och personlig information från tiotals miljoner amerikaner i slutet av förra året var resultatet av företagets misslyckande med att hålla sina rutinmässiga funktioner och underhållsfunktioner i ett separat nätverk från kritiska betalningsfunktioner, enligt säkerhetsinformation forskaren Brian Krebs, som först rapporterade brottet i december.
Målet förra veckan avslöjade för Wall Street Journal att det första intrånget i dess nätverk spårades till inloggningsinformation som stulits från en tredjepartsleverantör. Herr Krebs rapporterar nu att leverantören i fråga var Fazio Mechanical Services, ett Sharpsburg, PA-baserat företag som avtalade med Target för att tillhandahålla kylning och VVS-installation och underhåll. Fazios president Ross Fazio bekräftade att företaget besökts av US Secret Service som en del av utredningen, men har ännu inte lämnat några offentliga uttalanden om den rapporterade inblandningen av inloggningsuppgifter som tilldelats sina anställda.
Fazio-anställda fick fjärråtkomst till Targets nätverk för att övervaka parametrar som energianvändning och kyltemperaturer. Men eftersom Target enligt uppgift misslyckades med att segmentera sitt nätverk, betydde det att kunniga hackare kunde använda samma tredjeparts fjärrinformation för att få tillgång till återförsäljarens känsliga försäljningsstället (POS) -server. De fortfarande okända hackarna utnyttjade denna sårbarhet för att ladda upp skadlig programvara till majoriteten av Targets POS-system, som sedan fångade betalning och personlig information till upp till 70 miljoner kunder som handlade i butiken mellan slutet av november och mitten av december.
Denna uppenbarelse har vettat tvivel om karaktärernas karaktärisering av händelsen som en sofistikerad och oväntad cyberstöld. Medan den uppladdade skadliga programvaran verkligen var ganska komplicerad, och även om anställda i Fazio delar en del skyll för att tillåta stöld av inloggningsuppgifter, kvarstår faktumet att båda villkoren skulle ha gjorts felaktiga om Target hade följt säkerhetsriktlinjerna och segmenterat sitt nätverk för att hålla betalningsservrar isolerade från nätverk som tillåter relativt bred åtkomst.
Jody Brazil, grundare och CTO för säkerhetsföretaget FireMon, förklarade till Computerworld , ”Det finns inget fan om. Target valde att tillåta tredje parts åtkomst till sitt nätverk, men misslyckades med att säkra den åtkomsten korrekt. ”
Om andra företag inte lär sig av Target misstag, kan konsumenterna förvänta sig att ännu fler överträdelser följer. Stephen Boyer, CTO och medgrundare av riskhanteringsföretaget BitSight, förklarade, ”I dagens hypernätverksvärld samarbetar företag med fler och fler affärspartners med funktioner som betalningssamling och bearbetning, tillverkning, IT och mänskliga resurser. Hackare hittar den svagaste inresepunkten för att få tillgång till känslig information, och ofta ligger den punkten inom offerets ekosystem. ”
Målet har ännu inte visat sig ha brutit mot säkerhetsstandarder för betalningskortsindustrin (PCI) till följd av överträdelsen, men vissa analytiker förutser problem i företagets framtid. PCI-standarder kräver inte starkt rekommendationer att organisationer ska segmentera sina nätverk mellan betalnings- och icke-betalningsfunktioner, men det återstår en viss fråga om Targts tredje parts åtkomst använde tvåfaktorsautentisering, vilket är ett krav. Brott mot PCI-standarder kan leda till stora böter, och Gartner-analytikern Avivah Litan berättade för Krebs att företaget skulle kunna få påföljder på upp till 420 miljoner dollar för överträdelsen.
Regeringen har också börjat agera som svar på överträdelsen. Obama-administrationen rekommenderade den här veckan antagandet av tuffare lagar om cybersäkerhet, vilket medförde både hårdare straff för överträdare såväl som federala krav för företag att anmäla kunder i kölvattnet av säkerhetsöverträdelser och följa vissa minimipraxis när det gäller cyberdatapolitiken.
