Target客戶資料外洩總數可能達1.1億筆,成美國史上最大資料外洩案!


文/陳曉莉 (編譯) 2014-01-13

除了最早公布的4000萬筆之外,被竊的資料還包括最多7000萬名客戶的姓名、地址、電話號碼與電子郵件帳號。這意味著這一次的資料外洩事件最多可能影響總計1.1億的Target客戶,超越TJX在2007年被駭客入侵的9400萬筆資料外洩規模,並創下史上最大宗的資料外洩紀錄。



美國僅次於Walmart的第二大連鎖商店Target在去年12月遭到駭客入侵,當時Target估計約有4000萬名客戶的信用卡或簽帳卡資料被竊,但Target在調查後指出,被竊的資料還包括最多7000萬名客戶的姓名、地址、電話號碼與電子郵件帳號。

此次Target所公布的數據是上次公布的資料之外的額外資料,雖然有某些受影響的客戶是重疊的,但這意味著這一次的資料外洩事件最多可能影響總計1.1億的Target客戶,超越TJX在2007年被駭客入侵的9400萬筆資料外洩規模,並創下史上最大宗的資料外洩紀錄,只是Target並未公布實際的總影響人數。

Target執行長Gregg Steinhafel表示,他知道此事讓顧客失望了,他們亦感到非常抱歉。Target財務長John Mulligan則說,經歷這次的資料外洩事件,Target的首要之務便是照顧顧客以及協助他們取得再度光臨Target的信心。

Target是在去年12月中發現被駭,但在此事被披露之前,即有銀行分析師察覺可於駭客論壇買到Target顧客的信用卡/簽帳卡資料,這些資料包含顧客的姓名、卡片號碼與卡片驗證碼,駭客或惡意人士可利用這些完整的資料複製信用卡或簽帳卡。

為了保障顧客的權益,Target提供了一年的免費信用監控與身份竊盜保護服務予所有在美國商店消費的顧客,強調顧客不必為此次的資料外洩事件承擔任何的責任。此外,Target準備以電子郵件通知受影響的客戶,也特別說明並不會在郵件中要求顧客提供任何的個人資訊。

Target以調查仍在進行為由,並未揭露駭客入侵的方式,但彭博社引述消息來源報導,駭客是透過電腦病毒感染了Target的POS刷卡終端裝置,因而蒐集了消費者的信用卡或簽帳卡資料。(編譯/陳曉莉)


 

美國連鎖商店Target被駭,4000萬筆信用卡資料遭竊


(IThome)文/陳曉莉 (編譯) 2013-12-20

這些被竊取的資料涵蓋顧客的姓名、信用卡或簽帳卡號碼、卡片到期日與卡片驗證碼。這是美國歷史上規模第二大的信用卡資料外洩事件,僅次於2007年TJX的9400萬筆。

美國僅次於Walmart的第二大折扣連鎖零售商Target周四(12/19)對外證實遭到駭客入侵,估計約有4000萬筆的信用卡或簽帳卡資料被竊。

在美國擁有1800家商店的Target本周四發出郵件通知客戶,表示該公司的付款資料遭到非法存取,可能影響從今年11月27日至12月15日於該公司美國商店消費的顧客,這些被竊取的資料涵蓋顧客的姓名、信用卡或簽帳卡號碼、卡片到期日與卡片驗證碼。

這是美國歷史上規模第二大的信用卡資料外洩事件。擁有數個品牌與上千家連鎖商店的TJX於2007年遭到駭客入侵,當時駭客竊取了高達9400萬筆與信用卡、簽帳卡及支票相關的客戶資料。

Target在發現此事後除了通知警方與金融機構外,也與第三方業者合作全面調查這起意外,檢視是否應採取其他必要的措施以避免未來再發生類似的事情。

Target執行長Gregg Steinhafel表示,該公司的首要之務是維持客戶的信賴,他們已快速解決此一問題,以讓客戶能安心消費。Target非常重視這件事,並正與執法機構合乍以將不法之徒繩之以法。(編譯/陳曉莉)

 


Taget面臨集體訴訟,用戶個資流入黑市

文/陳曉莉 (編譯) 2013-12-23

分享到facebook



美國第二大折扣連鎖商店Target被駭客入侵,有4000萬筆信用卡與簽帳卡客戶資料遭竊,受影響的Target用戶上周很快就相繼提出了三起訴訟,並可能演變成集體訴訟案。另一方面,Target的用戶資料已在黑市兜售,每筆價格自20美元至100美元不等。



美國第二大折扣連鎖商店Target上周傳出被駭客入侵,有4000萬筆信用卡與簽帳卡客戶資料遭竊。幾天後便傳出有用戶提告,並可能演變成集體訴訟案。另一方面,資安新聞網站KrebsOnSecurity則報導,Target的用戶資料已在黑市被兜售,每筆價格自20美元至100美元不等。

Target在遭駭後,馬上與執法機關合作展開調查,並提供免費的信用監控服務,同時也祭出了折扣優惠以吸引消費者回籠,然而,零售顧問業者Customer Growth Partners的調查卻顯示,與去年聖誕前的前一個周末相較,其他零售業的交易量仍然維持強勁,但Target的交易量卻下滑了3~4%。

而受影響的Target用戶上周很快就相繼提出了三起訴訟,指責Target忽視客戶權益,表示Target在得知被駭後,雖然立即進行調查,但卻沒能在第一時間通知消費者,亦指控Target未保障用戶的資料安全,導致原告與其他的消費者將面臨詐欺、身份竊盜,及信用評等等風險。原告亦打算替其他也受到影響的消費者發聲,企圖形成集體訴訟。

更嚴重的是Target遭竊的顧客資料可能已經被拿去黑市兜售。KrebsOnSecurity說,在Target公布被駭之前,即有銀行的分析師透露此事,因為他們已在駭客論壇買到Target顧客的信用卡資料。

Target被竊的資料包含顧客的姓名、信用卡或簽帳卡號碼、卡片到期日與卡片驗證碼。利用這些資料即可複製一張可直接在商店使用的信用卡或簽帳卡,若取得簽帳卡密碼甚至能夠到ATM提領現金。

這是目前為止美國規模第二大的資料外洩案,僅次於2007年TJX所發生的客戶資料外洩。專家認為,這類的意外應該只會愈來愈嚴重,因為美國的信用卡與簽帳卡仍然仰賴磁條來儲存帳號資訊,這讓駭客很容易複製這些卡片。用20世紀的卡片技術顯然難以抵擋21世紀的駭客,並使得美國成為主要的偽卡受害國。(編譯/陳曉莉)


報導:美國NSA以1000萬美元請RSA於加密軟體中植入後門

文/陳曉莉 (編譯) 2013-12-23

分享到facebook



路透社報導國安局支付1000萬美元予RSA 以在加密產品中植入後門,RSA則發表聲明否認此事。



路透社上周五(12/20)引述消息來源報導,表示國安局支付1000萬美元予EMC旗下的安全業者RSA Security,以在RSA所開發的加密產品中植入後門,RSA則於周日(12/22)發表聲明否認此事。

紐約時報率先於今年9月引用美國國安局(NSA)約聘人員Edward Snowden所提供的機密文件揭露此事,指出NSA在目標對象所使用的商業化加密系統、IT系統、網路或終端裝置上嵌人可產生後門的程式,當時紐時已經公布RSA牽涉其中,但1000萬美元的金額迄今才曝光。
根據今年9月的報導,國安局開發了一個有缺陷的公式來產生隨機的號碼,並可在安全產品中建立後門,且RSA在提供加密與數位簽章等安全功能的BSafe植入了該公式,扮演了關鍵的角色。

路透社上周進一步引述兩名消息來源表示,為了讓RSA把該公式配置成BSafe中產生號碼的預設方法,國安局支付了1000萬美元。

RSA則說,他們曾以供應商及安全社群的角色與國安局合作過,但與國安局之間從未有媒體所宣稱的秘密關係,作為一家安全公司,他們不能透露與客戶之間的交易細節,可絕對沒有參與會危害RSA產品的任何專案,也沒有在任何人都可使用的產品中嵌入潛在的後門。

但眼尖的媒體則發現了RSA 的聲明之中似有伏筆:媒體報導國安局是針對「目標對象」採取植入後門的政策,而RSA的澄清稿則是說未在「任何人」都使用的產品中嵌入後門。(編譯/陳曉莉)


NSA contracted RSA to use flawed algorithm, leaks reveal
(http://www.scmagazine.com/nsa-contracted-rsa-to-use-flawed-algorithm-leaks-reveal/article/326713/)

A secret contract reportedly tied the NSA and security firm RSA.

Leaked classified documents, detailed in a Friday Reuters article, show that the National Security Agency (NSA) arranged a $10 million deal with RSA that ultimately led to the security firm using a “flawed” encryption formula in its products.

According to Reuters, the contract set an “NSA formula as the preferred, or default, method for number generation in the BSAFE software.”

It was revealed in September that all versions of RSA's BSAFE Toolkits were impacted by a community-developed encryption algorithm that was believed to contain an NSA backdoor.

The algorithm in question was Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG), which both RSA and the National Institute of Standards and Technology (NIST) recommended the industry not use at the time.

Reuters reported that while the $10 million deal “might seem paltry” for a major company such as RSA – which serves as the security division for the global data storage corporation EMC – it actually accounted for “more than a third of the revenue that the relevant division at RSA had taken in during the entire previous year."

Dual_EC_DRBG was adopted by RSA before NIST's approval, and to help spur NIST's endorsement of its use, NSA shared that the government had already used the algorithm for some time, Reuters revealed.

“RSA's contract made Dual Elliptic Curve the default option for producing random numbers in the RSA toolkit,” the article said. “No alarms were raised, former [RSA] employees said, because the deal was handled by business leaders rather than pure technologists.”


 

參考資料:

硬體安全模組 (HSM)

FIPS 140-2 密碼學模組標準簡介

OpenPGP加密

Storeage 加密

回首頁