不知大家是否还记得发生在2013年的Target数据泄漏事件?因其影响范围之广(超过1亿用户的信用卡、卡号、户主、地址、邮件地址以及电话皆被曝光)、损失之严重(被偷信用卡估计价值4亿美元)而成为信息安全领域中无法磨灭的一段历史。此外,Target为客户集体诉讼赔付1000万美元,并在信用卡和万事达卡的重启问题上赔付更多。虽然最初的入侵点是一个为攻击者所入侵的第三方HVAC供应商,但Target数据泄漏报告显示,一旦攻击者获得企业网络的访问权,将没有什么能够阻止他们通过网络获取未经授权的访问。
据悉,Target数据泄漏事件发生的几天后,该零售商便从电信巨头Verizon请来一名安全顾问来执行公司安全漏洞的内部调查。不知是问题过于复杂,还是有其他原因,该调查一直持续了两年,直至今天,调查出的漏洞通过一份内部报告公开出来。
报告揭示Target原有许多安全漏洞,包括使用较弱的默认密码,而这些密码存储在多个服务器的一个文件中。根据报告的解释,一经接入,Verizon的安全顾问就可以进入内部网络,甚至作为系统管理员在网络中自由移动。一周内,Verizon顾问能够破解Target54,7470个密码。
Verizon根据密码长度、基本单词、数字和大小写字母对公司的密码复杂度进行了排列。令人震惊的是,许多人共享相同的密码。根据报告显示,有4312人使用“Jan3009#”;3834人使用“sto$res1”;3762人使用 “train#5”等等。那些没有使用相同密码、但却包含相同基词的情况分别是:8670个密码使用“target";3050个密码使用 “summer”;3840个密码使用“train"。使用相同单词、符号和数字的密码越多,破解多个密码就越容易。
Verizon顾问指出:Target的系统运行在过时老旧的Web服务器软件上,再次就是缺少重要的安全补丁。
根据报告显示,在接下来14年2月进行的外部渗透测试中,修复但并未完全解决漏洞,不过之后修复过程有了重大改进。Target做出积极的改变,保护公司的基础设施,检测并封堵外部威胁。为了应对13的数据泄漏事故,Target实施了额外的网络安全措施,成立“网络融合中心”以应对潜在的攻击和风险。
对于历时两年才公布的调查报告,目前Target并未对其真实性做出回应。
2000年1月,戴顿赫德森公司(1962年成立)更名为塔吉特(Target)公司。 Target公司位于明尼苏达州明尼阿波利斯美市,在美国47州设有1,330家商店,为客户提供当今时尚前沿的零售服务,物美价廉。不管是在Target商店还是在线Target.com,客户都能从数千件风格独特的商品中作出选择,享受到乐趣横生、简单方便的购物体验。公司每周都要通过捐赠和其它一些活动把200万美元回馈给当地社区。自1962 年开设第一家商店以来,Target公司已与许多非赢利组织、客户和组织成员合作来帮助满足各地社区的需要。