Экс-сотрудники Target раскрыли причины утечки данных Тревожные звонки, свидетельствовавшие об уязвимости систем магазинов Target, появились еще за несколько месяцев до хакерской атаки, которая уже второй месяц обсуждается ИБ-экспертами всего мира. Американская деловая газета Wall Street Journal опубликовала откровения бывших сотрудников Target, утверждающих, что произошедшее отчасти объясняется неблагоприятным стечением обстоятельств. Факт атаки на POS-терминалы сети магазинов Target раскрылся в декабре 2013 года, однако благоприятная для мошенников обстановка в компании сложилась намного ранее. Обобщая свидетельства различных источников, можно выделить следующие три фактора, которые привели к краже более 100 млн клиентских аккаунтов. 1. Неудачный выбор времени для сокращения штата сотрудников. В 2013 году накануне рождественских праздников команда Target лишилась сразу нескольких специалистов отдела информационной безопасности. Источники отмечают, что некоторые ключевые работники покинули ряды Target в поисках «более престижной работы». 2. Отсутствие должного обновления систем. Примерно за два месяца до атаки специалист, осуществлявший исследование POS-терминалов Target, заявил о необходимости установки обновлений и предсказал возникновение уязвимостей в системах ритейлера. 3. Неудачный выбор времени для обновления систем. Обновление POS-систем компании предшествовало важнейшему с экономической точки зрения событию, которое может как дать существенный импульс к развитию, так и погубить целый бизнес. Речь идет о так называемой черной пятнице - пятнице после Дня благодарения в США. С этого дня начинается традиционный рождественский сезон распродаж. Напомним, что утечка данных в магазинах Target произошла в период рождественских и новогодних праздников 2013 года. По данным СМИ, злоумышленники применили троян, перехватывающий данные в тот момент, когда они представлены в памяти кассовых компьютеров в незашифрованном виде для обработки платежа. Расследование инцидента возглавила Секретная служба США. Раздел: информационная безопасность Дата: 19-02-2014 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|