美國最大零售連鎖書店邦諾(Barnes & Noble)共有63家門市的晶片讀卡機(PIN pad devices)遭駭客植入病毒,導致用戶的信用卡、簽帳卡(Debit card)等資料被竊,雖然受影響門市比例不到1%,Barnes & Noble仍舊在9/14宣佈暫時停用700家門市的讀卡機裝置。
邦諾書店發言人Mary Ellen Keating表示,該公司日前在維護和檢測裝置時發現,門市讀卡機被植入木馬程式,一旦使用讀卡機結帳,消費者的姓名、信用卡或簽帳卡及PIN碼等資料就會被竊取。對於那些曾經在受駭門市使用信用卡、簽帳卡的消費者,Mary建議最好盡快改變密碼和PIN碼,並通知銀行留意是否有可疑交易,同時強調其客戶資料庫和線上書店並未受到影響,Nook的平板電腦或手機用戶也未受波及。
聯邦政府和地方執法單位已經展開調查,但現階段還未確認駭客植入病毒的時間點,確切的外洩資料筆數也仍未對外公布。
Barnes & Noble此次資料外洩事件,乃是因為嵌入式裝置感染病毒而造成,此種攻擊手法雖然比較不普遍,但也不是新方式。2010年,德國零售雜貨店Aldi就發生了消費者使用讀卡機刷卡導致簽帳卡資料被竊取的意外,2011年,專售藝術品與工藝品的連鎖商店Michaels Stores,也有100台門市的刷卡裝置遭駭,導致信用卡與簽帳卡的資料遺失。
Gartner分析師Avivah Litan認為,要入侵商店中的付款設備並不困難,在許多情況下,駭客傾向鎖定特定的付款設備而不是商店本身,因為他們可以拆解和研究這些機器,找出入侵或竄改的方式,之前也有銀行機構遇到類似的攻擊。
Verizon 2012年「資料外洩調查報告」( Data Breach Investigations Report, DBIR)也指出,終端安全必須更受到重視,POS(Point of Sale,端點銷售情報系統)已經成為駭客詐欺的攻擊目標,但多數企業用戶仍未重視POS安全。
今年於美國拉斯維加斯的黑帽大會(Black Hat)上,來自英國MWR InfoSecurity的兩位安全研究人員Nils與Rafael Dominguez Vega就展示如何利用POS終端的漏洞,竊取信用卡號碼和PIN碼,請見〈2012黑帽大會搶先看:輕忽POS漏洞 小心外洩信用卡號與PIN碼〉。
這些終端裝置在讀取資料後,會再透過無線或有線方式傳到伺服器上。雖然多數業者在伺服器端會提供重重的加密與防護機制,但往往忽略了終端裝置的保護,讓終端裝置成為最大的安全缺口,由此
可見,在威脅攻擊泛濫的當今,資料保護的規畫必須更全面才可以。