การละเมิดความปลอดภัยที่น่าอับอายเป้าหมายที่เปิดเผยข้อมูลทางการเงินและข้อมูลส่วนบุคคลของชาวอเมริกันหลายสิบล้านคนเมื่อปลายปีที่แล้วเป็นผลมาจากความล้มเหลวของ บริษัท ในการดำเนินงานตามปกติและหน้าที่การบำรุงรักษาในเครือข่ายแยกต่างหาก นักวิจัย Brian Krebs ผู้รายงานการละเมิดครั้งแรกในเดือนธันวาคม
เป้าหมายเมื่อสัปดาห์ที่แล้วเปิดเผยต่อ The Wall Street Journal ว่าการละเมิดเริ่มต้นของเครือข่ายถูกโยงไปยังข้อมูลการเข้าสู่ระบบที่ถูกขโมยจากผู้ขายบุคคลที่สาม Mr. Krebs รายงานว่าผู้ขายที่มีปัญหาคือ Fazio Mechanical Services บริษัท Sharpsburg จาก PA ที่ทำสัญญากับ Target เพื่อให้บริการติดตั้งและซ่อมบำรุงเครื่องทำความเย็นและปรับอากาศ Ross Fazio ประธาน Fazio ยืนยันว่า บริษัท ได้เข้าเยี่ยมชมโดย US Secret Service ซึ่งเป็นส่วนหนึ่งของการสอบสวน แต่ยังไม่ได้ทำแถลงการณ์สาธารณะใด ๆ เกี่ยวกับการรายงานการมีส่วนร่วมของข้อมูลรับรองการเข้าสู่ระบบที่กำหนดให้กับพนักงาน
พนักงานของ Fazio ได้รับอนุญาตให้เข้าถึงเครือข่ายของ Target ในระยะไกลเพื่อตรวจสอบพารามิเตอร์ต่างๆเช่นการใช้พลังงานและอุณหภูมิในการทำความเย็น แต่เนื่องจาก Target รายงานว่าล้มเหลวในการแบ่งส่วนเครือข่ายของมันหมายความว่าแฮ็กเกอร์ที่มีความรู้สามารถใช้ข้อมูลประจำตัวระยะไกลของบุคคลที่สามเดียวกันเพื่อเข้าถึงเซิร์ฟเวอร์จุดขาย (POS) ที่มีความละเอียดอ่อนของผู้ค้าปลีก แฮกเกอร์ที่ยังไม่รู้จักใช้ประโยชน์จากช่องโหว่นี้เพื่ออัปโหลดมัลแวร์ไปยังระบบ POS ส่วนใหญ่ของ Target ซึ่งจับการชำระเงินและข้อมูลส่วนบุคคลของลูกค้ามากถึง 70 ล้านรายที่ซื้อที่ร้านระหว่างปลายเดือนพฤศจิกายนถึงกลางเดือนธันวาคม
การเปิดเผยนี้ทำให้เกิดความสงสัยในลักษณะของเหตุการณ์โดยผู้บริหารระดับสูงของเป้าหมายในฐานะการโจรกรรมทางไซเบอร์ที่ซับซ้อนและไม่คาดคิด ในขณะที่มัลแวร์ที่อัปโหลดนั้นค่อนข้างซับซ้อนและในขณะที่พนักงานของ Fazio แบ่งปันความผิดบางประการเพื่ออนุญาตให้ขโมยข้อมูลรับรองการเข้าสู่ระบบความจริงก็คือว่าเงื่อนไขทั้งสองจะได้รับการแสดงผล moot หากเป้าหมายได้ปฏิบัติตามแนวทางความปลอดภัย จากเครือข่ายที่อนุญาตการเข้าถึงที่ค่อนข้างกว้าง
โจดี้บราซิลผู้ก่อตั้งและซีทีโอของ FireMon บริษัท รักษาความปลอดภัยอธิบายกับ Computerworld ว่า“ ไม่มีอะไรที่น่าประหลาดใจ เป้าหมายเลือกที่จะอนุญาตให้บุคคลที่สามเข้าถึงเครือข่ายของตน แต่ไม่สามารถเข้าถึงการเข้าถึงนั้นได้อย่างปลอดภัย”
หาก บริษัท อื่นล้มเหลวในการเรียนรู้จากความผิดพลาดของ Target ผู้บริโภคสามารถคาดหวังได้ว่าจะมีการฝ่าฝืนต่อไปอีก Stephen Boyer, CTO และผู้ร่วมก่อตั้ง บริษัท บริหารความเสี่ยง BitSight อธิบายว่า“ ในโลกที่มีเครือข่ายมากเกินไปทุกวันนี้ บริษัท ต่างๆกำลังทำงานร่วมกับพันธมิตรทางธุรกิจมากขึ้นเรื่อย ๆ ด้วยฟังก์ชั่นเช่นการรวบรวมและการชำระเงินการผลิตไอทีและทรัพยากรมนุษย์ แฮกเกอร์ค้นหาจุดอ่อนที่สุดในการเข้าถึงข้อมูลที่มีความละเอียดอ่อนและบ่อยครั้งที่ประเด็นนั้นอยู่ในระบบนิเวศของเหยื่อ”
เป้าหมายยังไม่ถูกพบว่าละเมิดมาตรฐานความปลอดภัยของอุตสาหกรรมบัตรชำระเงิน (PCI) อันเป็นผลมาจากการฝ่าฝืน แต่นักวิเคราะห์บางคนคาดการณ์ปัญหาในอนาคตของ บริษัท ในขณะที่แนะนำอย่างสูงมาตรฐาน PCI ไม่ต้องการให้องค์กรแบ่งส่วนเครือข่ายของตนระหว่างฟังก์ชั่นการชำระเงินและการชำระเงินที่ไม่ใช่คำถาม แต่ยังมีคำถามบางอย่างเกี่ยวกับการเข้าถึงบุคคลที่สามของ Target ที่ใช้การรับรองความถูกต้องสองปัจจัย การละเมิดมาตรฐาน PCI อาจส่งผลให้ต้องเสียค่าปรับจำนวนมากและนักวิเคราะห์ของ Gartner Avivah Litan กล่าวกับ Mr. Krebs ว่า บริษัท อาจได้รับโทษปรับสูงถึง $ 420 ล้านจากการละเมิด
รัฐบาลก็เริ่มที่จะตอบสนองต่อการละเมิด การบริหารของโอบามาในสัปดาห์นี้แนะนำให้มีการบังคับใช้กฎหมายความปลอดภัยทางไซเบอร์ที่รุนแรงขึ้นซึ่งนำบทลงโทษที่รุนแรงขึ้นสำหรับผู้กระทำผิดรวมทั้งข้อกำหนดของรัฐบาลกลางสำหรับ บริษัท ต่างๆเพื่อแจ้งให้ลูกค้าทราบถึงการฝ่าฝืนการรักษาความปลอดภัย
