Утечка данных Target 2013
Утечка данных Target 2013 — это инцидент в сфере информационной безопасности, произошедший в конце 2013 года, в результате которого злоумышленники получили несанкционированный доступ к данным кредитных и дебетовых карт примерно 40 миллионов клиентов американской розничной сети Target, а также к персональной информации (имена, адреса, номера телефонов, адреса электронной почты) ещё около 70 миллионов человек. По совокупности пострадавших (около 110 миллионов записей) утечка стала одной из крупнейших в истории розничной торговли на тот момент и привела к серьёзным финансовым, репутационным и юридическим последствиям для компании.
История
Предпосылки
Компания Target Corporation, основанная в 1902 году, к 2013 году являлась одним из крупнейших розничных продавцов в США, насчитывая более 1700 магазинов. Система оплаты в магазинах сети была стандартной для того времени: использовались POS-терминалы (Point of Sale), работающие на базе Windows Embedded, и централизованная система обработки платежей. Уязвимость в этой инфраструктуре стала основной причиной атаки.
Хронология атаки
Атака началась, по разным данным, 27 ноября 2013 года, в канун «Чёрной пятницы» — одного из самых активных торговых дней в году. Злоумышленники, предположительно связанные с хакерской группой, получили доступ к сети Target через фишинговое письмо, отправленное одному из сотрудников компании-подрядчика, обслуживавшего системы вентиляции и кондиционирования (HVAC). После компрометации учётной записи подрядчика, хакеры проникли во внутреннюю сеть Target.
В течение нескольких недель злоумышленники устанавливали вредоносное ПО на POS-терминалы магазинов. Это ПО, известное как «BlackPOS» или «Kaptoxa», перехватывало данные магнитных полос кредитных карт в момент их считывания при оплате. Данные собирались и передавались на внешние серверы, контролируемые хакерами. Утечка продолжалась до 15 декабря 2013 года, когда система безопасности Target обнаружила подозрительную активность.
Обнаружение и реакция
15 декабря 2013 года Министерство юстиции США уведомило Target о возможной утечке. 18 декабря компания официально подтвердила инцидент, заявив, что данные карт 40 миллионов клиентов были скомпрометированы. В январе 2014 года Target признала, что также были похищены персональные данные (имена, адреса, номера телефонов, адреса электронной почты) ещё 70 миллионов человек, которые не были затронуты утечкой данных карт. Таким образом, общее число пострадавших достигло 110 миллионов.
Технические детали
Метод проникновения
Первоначальный взлом был осуществлён через третью сторону — компанию Fazio Mechanical Services, которая занималась обслуживанием систем HVAC в магазинах Target. Злоумышленники использовали фишинговое письмо, содержащее вредоносное вложение, которое было открыто сотрудником Fazio. Это позволило хакерам получить учётные данные для доступа к порталу Target, предназначенному для подрядчиков.
Распространение в сети
После проникновения во внутреннюю сеть Target, злоумышленники использовали уязвимости в системе безопасности, чтобы перемещаться между сегментами сети. Ключевой проблемой стало отсутствие должной сегментации сети: система управления HVAC была подключена к той же сети, что и POS-терминалы, обрабатывающие платежи. Хакеры смогли получить доступ к серверам, управляющим POS-терминалами, и установить на них вредоносное ПО.
Вредоносное ПО
Основным инструментом кражи данных стала программа «BlackPOS», также известная как «Kaptoxa». Это троян, предназначенный для перехвата данных с магнитной полосы кредитных карт (трек 1 и трек 2). ПО работало в памяти POS-терминала, не оставляя следов на жёстком диске, что затрудняло его обнаружение. Данные сохранялись в зашифрованном виде и затем передавались на серверы злоумышленников через FTP-соединение.
Последствия
Финансовые потери
Утечка данных обошлась Target в значительные суммы. Компания выплатила:
- Штрафы и урегулирования: более 18,5 миллионов долларов — урегулирование с 47 штатами и округом Колумбия; 39,4 миллиона долларов — урегулирование с банками и кредитными союзами, понёсшими убытки от мошеннических транзакций; 10 миллионов долларов — коллективный иск от пострадавших клиентов.
- Затраты на восстановление: расходы на замену 100% POS-терминалов на новые, поддерживающие чиповые карты (EMV), наём специалистов по кибербезопасности, модернизацию систем защиты. Общие прямые и косвенные потери Target оцениваются в сумму от 200 до 300 миллионов долларов.
Репутационный ущерб
Инцидент серьёзно подорвал доверие клиентов. В четвёртом квартале 2013 года продажи Target упали на 5,3% по сравнению с аналогичным периодом предыдущего года. Компания потеряла 46% своей прибыли. Генеральный директор Грегг Стейнхафель (Gregg Steinhafel) подал в отставку в мае 2014 года.
Юридические последствия
Утечка привела к многочисленным судебным искам со стороны клиентов, банков-эмитентов карт и акционеров. Target была подвергнута расследованию со стороны Федеральной торговой комиссии (FTC) США и Конгресса. В результате компания обязалась внедрить более строгие меры безопасности, включая:
- Внедрение технологии EMV (чиповые карты) во всех магазинах.
- Усиление сегментации сети.
- Внедрение системы мониторинга и реагирования на инциденты (SIEM).
- Назначение директора по информационной безопасности (CISO).
Критика и уроки
Критика действий Target
Расследование выявило ряд серьёзных недостатков в системе безопасности Target:
- Игнорирование предупреждений: Система безопасности FireEye, установленная в Target, обнаружила подозрительную активность (передачу данных на внешние серверы) 30 ноября 2013 года, однако команда безопасности в Бангалоре (Индия) не предприняла должных действий. Предупреждения были проигнорированы.
- Отсутствие сегментации сети: Как уже упоминалось, сеть для подрядчиков была соединена с сетью POS-терминалов, что позволило хакерам легко перемещаться.
- Недостаточная защита POS-терминалов: Терминалы работали на устаревшей версии Windows Embedded, которая не получала своевременных обновлений безопасности.
Влияние на отрасль
Утечка данных Target стала катализатором для значительных изменений в сфере розничной торговли и кибербезопасности:
- Ускорение перехода на EMV: После инцидента многие розничные сети в США ускорили внедрение терминалов, поддерживающих чиповые карты, которые значительно сложнее скомпрометировать, чем карты с магнитной полосой.
- Ужесточение стандартов безопасности: Был пересмотрен стандарт безопасности данных индустрии платёжных карт (PCI DSS). Компании стали уделять больше внимания сегментации сети, мониторингу и обучению сотрудников.
- Рост страхового рынка: Утечка привела к росту популярности страхования киберрисков (Cyber Insurance). Компании начали активнее приобретать полисы, покрывающие убытки от утечек данных.
- Повышение осведомлённости: Инцидент широко освещался в СМИ, что повысило осведомлённость как бизнеса, так и потребителей о рисках, связанных с хранением и обработкой персональных данных.
Источники
- Отчёт Target Corporation о результатах расследования утечки данных (2014).
- Статья в журнале Bloomberg Businessweek «The Target Breach: A Timeline».
- Материалы Федеральной торговой комиссии США (FTC) по делу Target.
- Отчёт компании Verizon о расследованиях утечек данных (2014 Data Breach Investigations Report).
- Публикации в The New York Times и The Wall Street Journal, посвящённые утечке данных Target.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →