A infame violação de segurança da Target que expôs as informações financeiras e pessoais de dezenas de milhões de americanos no final do ano passado foi o resultado da falha da empresa em manter suas operações rotineiras e funções de manutenção em uma rede separada das funções críticas de pagamento, de acordo com informações da segurança pesquisador Brian Krebs, que relatou a violação pela primeira vez em dezembro.
A Target, na semana passada, revelou ao The Wall Street Journal que a violação inicial de sua rede foi rastreada para acessar informações roubadas de um fornecedor terceirizado. Krebs agora relata que o fornecedor em questão era a Fazio Mechanical Services, uma empresa com sede em Sharpsburg, PA, que contratou a Target para fornecer refrigeração e instalação e manutenção de HVAC. O presidente da Fazio, Ross Fazio, confirmou que a empresa foi visitada pelo Serviço Secreto dos EUA como parte da investigação, mas ainda não fez declarações públicas sobre o envolvimento relatado das credenciais de login atribuídas aos seus funcionários.
Os funcionários da Fazio receberam acesso remoto à rede da Target para monitorar parâmetros como uso de energia e temperaturas de refrigeração. Mas como a Target supostamente falhou em segmentar sua rede, isso significava que hackers qualificados poderiam usar essas mesmas credenciais remotas de terceiros para acessar os servidores de ponto de venda (POS) sensível do varejista. Os hackers ainda desconhecidos aproveitaram essa vulnerabilidade para fazer upload de malware para a maioria dos sistemas de PDV da Target, que capturaram o pagamento e as informações pessoais de até 70 milhões de clientes que compraram na loja entre o final de novembro e meados de dezembro.
Essa revelação colocou em dúvida a caracterização do evento pelos executivos da Target como um roubo cibernético sofisticado e imprevisto. Embora o malware carregado tenha sido bastante complexo, e embora os funcionários da Fazio compartilhem alguma culpa por permitir o roubo de credenciais de login, o fato é que ambas as condições teriam sido discutidas se o Target seguisse as diretrizes de segurança e segmentasse sua rede para manter os servidores de pagamento isolados. de redes que permitem acesso relativamente amplo.
Jody Brazil, fundador e CTO da empresa de segurança FireMon, explicou à Computerworld : “Não há nada de especial. A Target optou por permitir o acesso de terceiros à sua rede, mas não conseguiu garantir adequadamente esse acesso. ”
Se outras empresas não aprenderem com os erros da Target, os consumidores poderão esperar ainda mais violações. Stephen Boyer, CTO e co-fundador da empresa de gerenciamento de riscos BitSight, explicou: “No mundo hiperconectado de hoje, as empresas estão trabalhando com cada vez mais parceiros de negócios com funções como coleta e processamento de pagamentos, fabricação, TI e recursos humanos. Os hackers encontram o ponto de entrada mais fraco para obter acesso a informações confidenciais e, geralmente, esse ponto está no ecossistema da vítima. ”
Ainda não foi descoberto que a Target violou os padrões de segurança do setor de cartões de pagamento (PCI) como resultado da violação, mas alguns analistas preveem problemas no futuro da empresa. Embora altamente recomendados, os padrões PCI não exigem que as organizações segmentem suas redes entre as funções de pagamento e não pagamento, mas ainda há dúvidas sobre se o acesso de terceiros do Target utilizou autenticação de dois fatores, o que é um requisito. As violações dos padrões do PCI podem resultar em grandes multas, e o analista do Gartner, Avivah Litan, disse a Krebs que a empresa pode sofrer multas de até US $ 420 milhões pela violação.
O governo também começou a agir em resposta à violação. O governo Obama recomendou nesta semana a adoção de leis mais rígidas de segurança cibernética, trazendo penalidades mais severas para os infratores e requisitos federais para que as empresas notifiquem os clientes após violações de segurança e sigam certas práticas mínimas quando se trata de políticas de dados cibernéticos.
