美國第二大連鎖零售商Target日前傳出遭駭客入侵,駭客透過竄改POS(Point-of-sale)系統以成功竊取卡片磁條上的資料,導致高達4,000萬筆的信用卡與簽帳卡(Debit card)資料外洩,Target則於12/19對外證實該起資料外洩事件。此外,被竊的資料也傳出已經流入黑市。
Target表示,攻擊日期從11/27到12/15,預估有4,000萬筆卡片資料遭竊,其中包括信用卡與簽帳卡的號碼、持卡人姓名、卡片到期日、以及CVV安全碼等資料,而這些被竊的資料很可能被用來偽造卡片以在ATM上提領現金。
至於受影響的門市,預估Target在美國的1,797家分店無一倖免,但若是透過網路商店Target.com消費或是在美國之外地區的分店,則不受影響。
另一方面,目前也已傳出遭竊的信用卡與轉帳卡資料已流入黑市。安全研究人員Brian Krebs表示,根據卡片的價值,每張卡片資料的售價從20美金到100美金以上不等。
Target表示,將會透過email方式通知所有可能受影響的用戶,並提醒他們在這段期間內需特別留意是否有不尋常的消費或提款紀錄,一旦發現有任何可疑的情況可立即與該公司連繫。此外,Target表示,該公司也已經與相關執法單位和金融機構密切合作,致力找出問題和著手解決。
對於該起事件的發生原因,Brian Krebs表示,根據信用卡付款處理公司提供的資料顯示,駭客透過在POS系統上安裝惡意程式以竊取資料,不過,駭客究竟是如何在POS系統上安裝惡意程式,目前則還不清楚。另外,駭客應該已經竊取了系統上超過18個月以上所累積的信用卡資料。
值得注意的是,這是有史以來第二大信用卡資料外洩的事件,僅次於2007年美國TJX公司旗下的零售商店TJ Maxx和Marshalls遭到駭客入侵,導致近4,600萬筆信用卡資料遭竊。
另一方面,該起外洩事件也再度讓POS系統的安全問題浮上檯面。這一兩年來,不僅有越來越多駭客專門鎖定POS系統下手,POS系統的病毒也越來越猖獗,如2012年年底擴散到40多個國家的Dexter,並在今年出現Dexter進化版vSkimmer,而另外一款POS病毒Dump Memory Grabber(又稱BlackPOS)也在今年盜取了數家銀行的卡片資料。