【大纪元2014年02月16日讯】(大纪元记者马颖慧编译报导)去年黑色星期五后,塔吉特公司(Target)发生4,000万信用卡和银行转账卡信息失窃事件。据报导,在事发前两个月该公司的计算机安全人员就曾警告公司的支付系统有漏洞,要求对其进行全面检查,但未能实施。
据《华尔街日报》报导,去年春夏期间美国政府和私人研究公司就针对支付终端的恶意软体出现向美国零售商发出数份备忘录,警示塔吉特和其他零售商试图进入其系统的恶意软体的数量大幅上扬。当时有计算机安全员建议对塔吉特的支付系统做更彻底的安全检查,但不幸的是该建议被管理层搁置。塔吉特公司有一个非常全面,涉及面非常广的网路安全情报团队,每周都会给公司提供大量风险信息。每月的指导委员会(steering committee meetings)只能优先考虑其中数个问题,管理层往往也无法判定那些网路安全问题更加紧迫,所以这个对塔吉特公司的支付系统进行全面检查的建议未被及时处理。
在黑色星期五到来前,塔吉特公司按计划更新支付终端。由于更新时往往没有足够的时间来寻找新支付系统的漏洞,所以容易出现安全隐患。塔吉特的计算机安全人员再次建议对支付系统进行安全检查。然而由于激烈的商业竞争即将开始,这个建议又没有被实施。
目前尚不清楚塔吉特公司在11月27 日至12月18 日间发生信用卡和转账卡信息失窃前到底有没有做检查,当时出现怎样的安全漏洞以及那些漏洞是否协助黑客闯入该公司的支付系统。
塔吉特公司拒绝对事先得到警告发表评论。
该公司的首席财务官穆里根(John Mulligan)上周在国会听证会上表示,该公司为了维护数据安全花费了上百万美元,雇有300多名计算机安全人员,而且与美国联邦调查局也一直在密切联系。塔吉特去年九月才获得联邦对支付行业所要求的信用卡数据保护合格证。然而该公司是在信息失窃已经发生,接到联邦调查员通报之后,才意识到自己的支付系统被恶意计算软体入侵。
大型企业网路的外部承包商与公司内部的支付网路之间不应该有联通途径,但是由于塔吉特公司的网路中各个平台之间原来没有设置间隔,所以目前尚没有公布姓名的黑客是通过盗取塔吉特公司宾夕法尼亚州的一个制冷承包商的访问凭据后得以潜入该公司网路。承包商与塔吉特公司就电子账单,提交合同和项目管理等方面有数据连接, 而且塔吉特公司是该承包商远程处理这些项目的唯一客户。在信息失窃一案中,黑客通过这些链接进入并在塔吉特公司庞大的网路中移动,最终进入该公司收银系统的终端。 塔吉特目前正在与联邦特勤局合作调查信息失窃事件。
塔吉特公司的行政人员表示,自从被黑客攻击后,公司已经将不同平台和网路隔离开,使黑客难以在他们的网路之间像上次一样自由移动。
联邦调查局于二月份发布的一份备忘录表示,大型企业为了监管网路方便而将信用卡和转账卡读卡器与远程管理器用较弱的密码联结,这种方式可能是大型企业计算机网路的漏洞。
(责任编辑:程新)
