不知大家是否還記得發(fā)生在2013年的Target數(shù)據(jù)泄漏事件？因其影響范圍之廣（超過1億用戶的信用卡、卡號、戶主、地址、郵件地址以及電話皆被曝光）、損失之嚴(yán)重（被偷信用卡估計(jì)價值4億美元）而成為信息安全領(lǐng)域中無法磨滅的一段歷史。此外，Target為客戶集體訴訟賠付1000萬美元，并在信用卡和萬事達(dá)卡的重啟問題上賠付更多。雖然最初的入侵點(diǎn)是一個為攻擊者所入侵的第三方HVAC供應(yīng)商，但Target數(shù)據(jù)泄漏報(bào)告顯示，一旦攻擊者獲得企業(yè)網(wǎng)絡(luò)的訪問權(quán)，將沒有什么能夠阻止他們通過網(wǎng)絡(luò)獲取未經(jīng)授權(quán)的訪問。

據(jù)悉，Target數(shù)據(jù)泄漏事件發(fā)生的幾天后，該零售商便從電信巨頭Verizon請來一名安全顧問來執(zhí)行公司安全漏洞的內(nèi)部調(diào)查。不知是問題過于復(fù)雜，還是有其他原因，該調(diào)查一直持續(xù)了兩年，直至今天，調(diào)查出的漏洞通過一份內(nèi)部報(bào)告公開出來。

報(bào)告揭示Target原有許多安全漏洞，包括使用較弱的默認(rèn)密碼，而這些密碼存儲在多個服務(wù)器的一個文件中。根據(jù)報(bào)告的解釋，一經(jīng)接入，Verizon的安全顧問就可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，甚至作為系統(tǒng)管理員在網(wǎng)絡(luò)中自由移動。一周內(nèi)，Verizon顧問能夠破解Target54,7470個密碼。

Verizon根據(jù)密碼長度、基本單詞、數(shù)字和大小寫字母對公司的密碼復(fù)雜度進(jìn)行了排列。令人震驚的是，許多人共享相同的密碼。根據(jù)報(bào)告顯示，有4312人使用“Jan3009#”；3834人使用“sto$res1”；3762人使用 “train#5”等等。那些沒有使用相同密碼、但卻包含相同基詞的情況分別是：8670個密碼使用“target"；3050個密碼使用 “summer”；3840個密碼使用“train"。使用相同單詞、符號和數(shù)字的密碼越多，破解多個密碼就越容易。

Verizon顧問指出：Target的系統(tǒng)運(yùn)行在過時老舊的Web服務(wù)器軟件上，再次就是缺少重要的安全補(bǔ)丁。

根據(jù)報(bào)告顯示，在接下來14年2月進(jìn)行的外部滲透測試中，修復(fù)但并未完全解決漏洞，不過之后修復(fù)過程有了重大改進(jìn)。Target做出積極的改變，保護(hù)公司的基礎(chǔ)設(shè)施，檢測并封堵外部威脅。為了應(yīng)對13的數(shù)據(jù)泄漏事故，Target實(shí)施了額外的網(wǎng)絡(luò)安全措施，成立“網(wǎng)絡(luò)融合中心”以應(yīng)對潛在的攻擊和風(fēng)險。

對于歷時兩年才公布的調(diào)查報(bào)告，目前Target并未對其真實(shí)性做出回應(yīng)。

Miranda

收藏 海報(bào)分享