Target泄漏事故内部报告:两年后浮出水面 意义何在?

日期: 2015-09-23 作者:Olivia Eckerson翻译:张程程 来源:TechTarget中国 英文

就在2013年Target数据泄漏的几天后,该零售商从电信巨头Verizon请了一名安全顾问来执行公司安全漏洞的内部调查。现在,调查出的漏洞已由一份内部报告公开出来……

Target数据泄漏事故因其影响范围之广(超过1亿的用户信用卡、卡号、户主、地址、邮件地址以及电话统统曝光)而成为信息安全史上的一座里程碑。虽然最初的入侵点是一个为攻击者所入侵的第三方HVAC供应商,但Target数据泄漏报告显示,一旦攻击者获得企业网络的访问权,将没有什么能够真正阻止他们通过网络并获取未经授权的访问。

新的报告揭示Target原有许多安全漏洞,包括使用较弱的及默认的密码,这些密码存储在多个服务器的一个文件中。根据报告的说法,一经接入,Verizon的安全顾问得以进入内部网络,甚至作为系统管理员在网络中自由移动。一周内,Verizon顾问能破解Target547,470个密码。

Verizon根据密码长度、基本单词、数字和大小写字母对公司的密码复杂度进行了排列,令人震惊的是,许多人共享相同的密码。根据报告显示,有4312人使用“Jan3009#”;3834人使用“sto$res1”;3762人使用 “train#5”等等。那些没有使用相同密码,不过却包含相同的基词:8670个密码使用“target”;3050个密码使用 “summer”;3840个密码使用“train”。使用相同单词、符号和数字的密码越多,破解多个密码就越容易。

Verizon顾问指出Target的系统运行在过时的Web服务器软件上,要不就是缺少重要的安全补丁

根据报告显示,在接下来14年2月进行的外部渗透测试中,修复并未完全解决漏洞,不过之后修复过程有了重大改进。Target做出积极的改变,保护公司的基础设施,检测并封堵外部威胁。为了应对13的数据泄漏事故,Target实施了额外的网络安全措施,成立“网络融合中心”以应对潜在的攻击和风险。

目前,Target对该报告的真实性未置一辞。

在Target泄漏事故中,被偷的信用卡估计价值4亿美元。此外,Target为客户集体诉讼赔付1000万美元,并为信用卡和万事达卡的重启问题搭上更多。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Olivia Eckerson
Olivia Eckerson

TechTarget网站编辑

翻译

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

相关推荐