Утечка данных Target 2013 года
Утечка данных Target 2013 года — это крупный инцидент в сфере информационной безопасности, в ходе которого злоумышленники получили несанкционированный доступ к данным банковских карт и личной информации десятков миллионов клиентов американской розничной сети Target Corporation. Утечка произошла в период с 27 ноября по 15 декабря 2013 года, в разгар предрождественского сезона покупок, и считается одной из самых масштабных и резонансных атак на ритейлера в истории США.
Ход атаки
Начальный этап: компрометация вендора
Атака была тщательно спланирована и началась не с непосредственного взлома систем Target, а с компрометации стороннего подрядчика. Злоумышленники, предположительно связанные с хакерской группой, известной как REvil или Carbanak (в разных источниках фигурируют разные названия), использовали фишинговое письмо для получения доступа к сети небольшой компании по обслуживанию систем отопления, вентиляции и кондиционирования воздуха (HVAC), которая работала с Target. Эта компания имела удаленный доступ к внутренней сети Target для мониторинга и управления системами.
Проникновение в сеть Target
Получив учетные данные сотрудника подрядчика, хакеры смогли проникнуть в корпоративную сеть Target. Они использовали вредоносное ПО, в частности программу для удаленного доступа (RAT), чтобы закрепиться в системе и начать разведку. Ключевым этапом стало перемещение из корпоративной сети (где обрабатываются административные данные) в сегмент сети, обслуживающий кассовые терминалы (POS-системы). Это стало возможным из-за недостаточной сегментации сети — изоляция между административными и платежными системами была слабой.
Установка вредоносного ПО на POS-терминалы
После проникновения в сегмент POS-систем хакеры установили на кассовые терминалы специально разработанное вредоносное ПО, названное BlackPOS (или Kaptoxa). Это ПО было настроено на сбор данных с магнитных полос банковских карт непосредственно в момент их считывания при оплате. BlackPOS считывал данные дорожек (track data) с магнитной полосы, включая номер карты, срок действия и имя держателя. Вредоносное ПО было установлено на большинство кассовых терминалов в магазинах Target по всей территории США.
Сбор и передача данных
В течение нескольких недель BlackPOS собирал данные с каждой транзакции. Затем эти данные передавались на серверы, контролируемые хакерами. Для передачи использовались легитимные каналы связи, что затрудняло обнаружение аномалий. Злоумышленники использовали FTP-серверы, размещенные в странах с менее строгим законодательством, для временного хранения похищенных данных перед их продажей на черном рынке.
Обнаружение и реагирование
Утечка была обнаружена не самой Target, а правоохранительными органами. В середине декабря 2013 года Министерство юстиции США и Секретная служба получили информацию о подозрительной активности, связанной с данными карт, которые использовались в магазинах Target. После этого Target была уведомлена и начала внутреннее расследование. 15 декабря 2013 года Target подтвердила факт утечки, а 19 декабря 2013 года публично объявила о ней, первоначально оценив число пострадавших в 40 миллионов держателей карт.
Масштаб и последствия
Объем похищенных данных
Изначально Target сообщила о компрометации 40 миллионов номеров банковских карт. Однако в ходе дальнейшего расследования выяснилось, что злоумышленники также похитили личную информацию (имена, адреса, номера телефонов, адреса электронной почты) еще примерно 70 миллионов клиентов. Таким образом, общее число пострадавших превысило 110 миллионов человек. Это одна из крупнейших утечек данных в истории США на тот момент.
Типы похищенных данных
- Данные банковских карт: Номера карт, сроки действия, имена держателей, а также данные с магнитной полосы (PIN-коды не были скомпрометированы, так как они шифруются в момент ввода).
- Личная информация: Имена, адреса, номера телефонов, адреса электронной почты.
Финансовые потери
Утечка нанесла серьезный финансовый ущерб Target:
- Прямые убытки: Target выплатила более 18,5 миллионов долларов в качестве компенсации банкам и платежным системам за ущерб, связанный с мошенническими транзакциями.
- Судебные издержки: Компания столкнулась с сотнями коллективных исков от клиентов и акционеров. В 2015 году Target согласилась выплатить 10 миллионов долларов для урегулирования коллективного иска от пострадавших клиентов.
- Затраты на безопасность: После инцидента Target была вынуждена потратить сотни миллионов долларов на модернизацию систем безопасности, внедрение EMV-чипов (чиповых карт) и усиление защиты сети.
- Падение акций: Акции Target упали на 2,5% в день объявления об утечке, а в последующие недели потеряли еще около 10% своей стоимости.
Репутационный ущерб
Инцидент серьезно подорвал доверие клиентов к Target. Многие покупатели временно перестали пользоваться услугами сети, опасаясь за свои финансы. Рождественские продажи 2013 года оказались ниже ожидаемых. Компании потребовались годы, чтобы восстановить репутацию и вернуть доверие потребителей.
Реакция и меры
Реакция Target
- Немедленные меры: Target немедленно отключила скомпрометированные системы, наняла ведущие фирмы по кибербезопасности (Mandiant) для расследования и предложила бесплатный мониторинг кредитной истории для всех пострадавших клиентов.
- Кадровые изменения: В марте 2014 года был уволен генеральный директор Target Грегг Стейнхафел, а также директор по информационной безопасности.
- Технические улучшения: Компания внедрила многофакторную аутентификацию для всех удаленных подключений, усилила сегментацию сети, перешла на использование EMV-чиповых карт в своих магазинах (что сделало кражу данных с магнитной полосы менее эффективной) и внедрила более строгие политики безопасности для сторонних подрядчиков.
Реакция банков и платежных систем
Банки, выпустившие скомпрометированные карты, были вынуждены массово перевыпускать их, что стоило им миллиарды долларов. Платежные системы (Visa, MasterCard) ужесточили требования к безопасности для ритейлеров, включая обязательное внедрение EMV-чипов и усиление стандартов PCI DSS (Payment Card Industry Data Security Standard).
Реакция законодателей
Инцидент в Target стал катализатором для обсуждения вопросов кибербезопасности на государственном уровне. В США были усилены требования к защите данных в розничной торговле, а также начались обсуждения введения единого федерального закона об уведомлении об утечках данных (до этого законы различались от штата к штату).
Уроки и значение
Ключевые выводы
- Уязвимость цепочки поставок: Атака продемонстрировала, что безопасность компании зависит от безопасности ее партнеров и подрядчиков. Компрометация небольшого вендора может привести к катастрофическим последствиям для крупной корпорации.
- Необходимость сегментации сети: Слабая изоляция между административной и платежной сетями позволила хакерам легко перемещаться и достичь цели. Надежная сегментация является критически важной мерой защиты.
- Важность мониторинга и реагирования: Системы безопасности Target (в частности, система обнаружения вторжений FireEye) фактически зафиксировали подозрительную активность, но персонал службы безопасности не отреагировал на предупреждения. Это подчеркивает необходимость не только внедрения технологий, но и обучения персонала и налаживания процессов реагирования.
- Эффективность вредоносного ПО для POS-терминалов: Атака показала, насколько уязвимыми могут быть старые системы оплаты, основанные на магнитной полосе, и стимулировала переход на более безопасные чиповые технологии.
Влияние на отрасль
Утечка в Target стала поворотным моментом для всей розничной индустрии. Она привела к:
- Массовому внедрению EMV-чиповых карт в США (к 2015 году).
- Ужесточению стандартов PCI DSS.
- Росту инвестиций в кибербезопасность со стороны ритейлеров.
- Повышению осведомленности общественности о рисках кражи данных.
Критика
Основная критика в адрес Target касалась недостаточного внимания к безопасности на ранних этапах. Компания была раскритикована за то, что не отреагировала на предупреждения системы безопасности, а также за то, что не предупредила клиентов и банки достаточно быстро. Кроме того, высказывались претензии к тому, что Target не в полной мере оценила риски, связанные с подключением сторонних подрядчиков к своей сети.
Источники
- Отчет компании Verizon о расследовании утечек данных (2014 год).
- Публичные заявления Target Corporation (пресс-релизы, отчеты для акционеров).
- Материалы расследования Конгресса США по вопросам кибербезопасности.
- Статьи в изданиях The Wall Street Journal, The New York Times, Krebs on Security.
- Судебные документы по коллективным искам против Target.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →