Открыть сервис

Утечка данных Target 2013 года

Утечка данных Target 2013 года — это крупный инцидент в сфере информационной безопасности, в ходе которого злоумышленники получили несанкционированный доступ к данным банковских карт и личной информации десятков миллионов клиентов американской розничной сети Target Corporation. Утечка произошла в период с 27 ноября по 15 декабря 2013 года, в разгар предрождественского сезона покупок, и считается одной из самых масштабных и резонансных атак на ритейлера в истории США.

Ход атаки

Начальный этап: компрометация вендора

Атака была тщательно спланирована и началась не с непосредственного взлома систем Target, а с компрометации стороннего подрядчика. Злоумышленники, предположительно связанные с хакерской группой, известной как REvil или Carbanak (в разных источниках фигурируют разные названия), использовали фишинговое письмо для получения доступа к сети небольшой компании по обслуживанию систем отопления, вентиляции и кондиционирования воздуха (HVAC), которая работала с Target. Эта компания имела удаленный доступ к внутренней сети Target для мониторинга и управления системами.

Проникновение в сеть Target

Получив учетные данные сотрудника подрядчика, хакеры смогли проникнуть в корпоративную сеть Target. Они использовали вредоносное ПО, в частности программу для удаленного доступа (RAT), чтобы закрепиться в системе и начать разведку. Ключевым этапом стало перемещение из корпоративной сети (где обрабатываются административные данные) в сегмент сети, обслуживающий кассовые терминалы (POS-системы). Это стало возможным из-за недостаточной сегментации сети — изоляция между административными и платежными системами была слабой.

Установка вредоносного ПО на POS-терминалы

После проникновения в сегмент POS-систем хакеры установили на кассовые терминалы специально разработанное вредоносное ПО, названное BlackPOS (или Kaptoxa). Это ПО было настроено на сбор данных с магнитных полос банковских карт непосредственно в момент их считывания при оплате. BlackPOS считывал данные дорожек (track data) с магнитной полосы, включая номер карты, срок действия и имя держателя. Вредоносное ПО было установлено на большинство кассовых терминалов в магазинах Target по всей территории США.

Сбор и передача данных

В течение нескольких недель BlackPOS собирал данные с каждой транзакции. Затем эти данные передавались на серверы, контролируемые хакерами. Для передачи использовались легитимные каналы связи, что затрудняло обнаружение аномалий. Злоумышленники использовали FTP-серверы, размещенные в странах с менее строгим законодательством, для временного хранения похищенных данных перед их продажей на черном рынке.

Обнаружение и реагирование

Утечка была обнаружена не самой Target, а правоохранительными органами. В середине декабря 2013 года Министерство юстиции США и Секретная служба получили информацию о подозрительной активности, связанной с данными карт, которые использовались в магазинах Target. После этого Target была уведомлена и начала внутреннее расследование. 15 декабря 2013 года Target подтвердила факт утечки, а 19 декабря 2013 года публично объявила о ней, первоначально оценив число пострадавших в 40 миллионов держателей карт.

Масштаб и последствия

Объем похищенных данных

Изначально Target сообщила о компрометации 40 миллионов номеров банковских карт. Однако в ходе дальнейшего расследования выяснилось, что злоумышленники также похитили личную информацию (имена, адреса, номера телефонов, адреса электронной почты) еще примерно 70 миллионов клиентов. Таким образом, общее число пострадавших превысило 110 миллионов человек. Это одна из крупнейших утечек данных в истории США на тот момент.

Типы похищенных данных

Финансовые потери

Утечка нанесла серьезный финансовый ущерб Target:

Репутационный ущерб

Инцидент серьезно подорвал доверие клиентов к Target. Многие покупатели временно перестали пользоваться услугами сети, опасаясь за свои финансы. Рождественские продажи 2013 года оказались ниже ожидаемых. Компании потребовались годы, чтобы восстановить репутацию и вернуть доверие потребителей.

Реакция и меры

Реакция Target

Реакция банков и платежных систем

Банки, выпустившие скомпрометированные карты, были вынуждены массово перевыпускать их, что стоило им миллиарды долларов. Платежные системы (Visa, MasterCard) ужесточили требования к безопасности для ритейлеров, включая обязательное внедрение EMV-чипов и усиление стандартов PCI DSS (Payment Card Industry Data Security Standard).

Реакция законодателей

Инцидент в Target стал катализатором для обсуждения вопросов кибербезопасности на государственном уровне. В США были усилены требования к защите данных в розничной торговле, а также начались обсуждения введения единого федерального закона об уведомлении об утечках данных (до этого законы различались от штата к штату).

Уроки и значение

Ключевые выводы

Влияние на отрасль

Утечка в Target стала поворотным моментом для всей розничной индустрии. Она привела к:

Критика

Основная критика в адрес Target касалась недостаточного внимания к безопасности на ранних этапах. Компания была раскритикована за то, что не отреагировала на предупреждения системы безопасности, а также за то, что не предупредила клиентов и банки достаточно быстро. Кроме того, высказывались претензии к тому, что Target не в полной мере оценила риски, связанные с подключением сторонних подрядчиков к своей сети.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →