据路透社的最新消息指出,塔吉特(Target)和内曼·马库斯(Neiman Marcus,美国以经营奢侈品为主的连锁高端百货商店)并非是在去年圣诞购物季中唯一遭受到黑客攻击的零售商家,只是其他零售商直到现在都没有对外公布自己被攻击的消息。
据熟悉内情的消息灵通人士透露,在去年圣诞购物节日期间,至少有另外三家美国知名零售商遭遇了黑客攻击,而攻击手法则和塔吉特被黑的情况相似。截止到目前为止,这些零售商还没有将自己被入侵的情况公之于众。而且,类似的黑客入侵情况甚至在去年早些时候就曾出现过。
消息指出,这些遭遇黑客入侵的零售商主要是那些在商场拥有实体门店的商家,但他们尚无法确定攻击者的真实身份。据美国执法部门透露,他们怀疑这些黑客主要是来自东欧的黑客集团,而这一地区在过去十年间主导了数起大规模黑客入侵事件。
自从塔吉特在去年12月19日透露自己遭受了黑客入侵,并因此而泄露了4000万信用卡信息后,只有内曼·马库斯一家零售商承认自己也是类似黑客袭击的受害者。而在上周五,塔吉特方面表示,那次黑客入侵的严重程度已经远超自己的想象。
据调查显示,美国零售商目前已经有超过7000万客户的个人资料失窃,失窃信息包括客户姓名、邮寄地址、电话号码或电子邮件地址。对于此类个人信息被盗事件,美国许多州都要求相关公司主动联系受波及用户,并告知他们这一情况。但实际情况是,这一工作一般都是由用户的信用卡发卡机构来完成。
与此同时,零售商也被要求在发生用户信息泄露事件的时候立刻对外公布这一情况,但这一要求的执行情况似乎并不乐观。对此,负责调查塔吉特被黑事件的美国特勤局和司法部均拒绝就此发表置评。
作案手法
目前,塔吉特方面还没有对外透露黑客是如何成功入侵,并窃取公司网络中异常敏感的用户信息。但此案的调查人员相信,数次零售商被黑事件都使用了类似的攻击手法和恶意软件。其中,拥有最大“作案嫌疑”的便是一款名为“内存抓取”(RAM scraper)的恶意软件,其原理是从系统内的临时性内存中抓取数据,以绕开密码控制。
事实上,“内存抓取”技术早在数年前就已经出现,直到近年来随着零售商不断加强自己的网络安全机制使得黑客无法像此前一样轻松获取用户的信用卡信息后,这一恶意软件的使用率才得到了大幅提升。
知名信用卡发卡机构Visa曾分别在去年4月8月发布两个安全警告,并在警告中详细解释了“内存抓取”软件的运行原理,Visa希望通过此举提高零售商对于这类软件的警惕性。
目前,我们尚不清楚塔吉特安全团队是否采用了Visa给出的防范建议来防止此类攻击。但据执法部门的消息人士透露称,即便零售商真的采纳了Visa的防范建议,他们也不见得一定能够避免遭遇黑客入侵。这主要是因为此次黑客入侵美国数家零售商的作案手法相比Visa警告中的说明已经变得更为复杂。
掩盖内情
一般来说,遭遇黑客入侵的零售商都不愿、或者十分勉强才愿意公布自己被黑的消息,因为这显然会对自己的业务构成负面影响。就拿塔吉特来说,该公司是在安全行业研究人员布莱恩·克里布斯(Brian Krebs)在2013年12月公布了这次数据失窃事件,并要求记者和投资者对此给予关注后才出面承认这一事件的。
内曼·马库斯早在今年1月1日就收到了外界独立调研机构有关自己遭遇黑客入侵的报告,但他们直到收到了来自布莱恩·克里布斯安全研究团队的压力后才在1月9日对外公布了这一情况。
需要指出的是,塔吉特和另一家美国零售巨头J.C. Penney Co Inc曾经等到两年之后才承认自己同样是2007年美国信用卡黑客阿尔伯特·冈萨雷斯(Albert Gonzalez)的受害方。当时,曾经做过联邦政府线人的28岁迈阿密人冈萨雷斯在2009年被抓后承认自己主使国际犯罪团伙从多家美国连锁零售店计算机内偷取了4000万份信用卡、借记卡信息,而他自己也被判入狱20年。
需要指出的是,即便是在冈萨雷斯案庭审期间,塔吉特和J.C. Penney都没有派人出席庭审,仅仅是委派律师以“匿名受害方”的身份出庭作证而已。
对此,美国银行家协会(American Bankers Association)风险管理副总道格·约翰逊(Doug Johnson)表示,政策规定银行和诸如Visa这类信用卡发卡机构禁止自己公布被黑客入侵的零售商名单,除非这些零售商主动公布这一消息。
“对于银行和消费者来说,这都是一件令人沮丧的事情。”约翰逊说道。
塔吉特发言人莫莉·斯奈德(Molly Snyder)表示自己不会对此次黑客入侵案件的细节发表置评,因为此案仍在调查之中。
令人吃惊的是,据知名市场研究机构Gartner副总裁兼著名分析师艾维·利坦(Avivah Litan)透露称,他早在感恩节前数月就曾收到了来自独立调查员提供的一份研究报告。该报告指出,遭遇黑客入侵的零售商家远远不止塔吉特一家。
“塔吉特并非是唯一的受害者,但确实是受波及最严重的一家。调查人员相信,之前的这些黑客攻击大多属于‘试验性质’,其主要目的是进一步完善自己的技术手法以在日后针对塔吉特展开攻击,并以前所未有的速度盗取信用卡信息。”利坦说道。
总部位于丹佛的安全公司Accuvant风险经理克里斯·格雷(Chris Gray)认为,精心策划的黑客团体之所以会在展开大规模攻击前进行试验是因为他们知道自己仅仅拥有一次机会。
“你需要通过试验确保自己能够获得成功,然后你就可以在合适的时候展开攻击,并对零售商造成最大的损失。”格雷最后说道。
