Co vede k únikům dat o platebních kartách zákazníků významných retailů

26. 9. 2014
Doba čtení: 5 minut

Sdílet

 Autor: Safetica
Ohrožení údajů 56 milionů kreditních karet ze společnosti Home Depot v USA a v Kanadě poukazuje na stále stejné chyby.

Útočníci využili možnosti k nasazení malwaru přímo do platebních terminálů Home Depotu v USA a Kanadě a procházelo jim to od dubna až do září. Společnost sama prozatím odhaduje, že je tento bezpečnostní incident bude stát 62 milionů dolarů.

Ohrožení 56 milionů kreditních karet z Home Depotu překonává předchozí známý případ se 40 miliony karet u společnosti Target. V obou případech hraje klíčovou roli průnik do interních sítí společnosti a nasazení malwaru, který po dlouhou dobu odchytával komunikaci a informace z platebních terminálů.

Není výjimkou, že takové případy se dějí i v České republice. Dochází k nim nejen při útocích hackerů, ale citlivá data mohou opustit firmu i jinými způsoby. Například když zaměstnanci firem odcházejí, může se stát se, že z nedbalosti vynesou firemní data.

Český trh je podstatně menší, takže případný únik by byl o řád menší, ale v zásadě zde riziko zcela určitě je. Bohužel v této oblasti jsou platební sítě a terminály černé skříňky, do kterých není vidět. A z historie už víme o ojedinělých napadených terminálech, kdy útočníci využili XP Embedded systémy k nasazení „viru“ do bankomatů.

Home Depot oznámil, že malware byl odstraněn, následně došlo k nasazení rozšířeného šifrování platebních dat přímo na platebních terminálech (kasách). K úplnému nasazení tohoto tolik potřebného prvku ochrany však v některých obchodech dojde až na počátku roku 2015.

Malware nasazený do Home Depotu byl klasicky psaný přímo na míru a na platebních terminálech fungoval od dubna do září 2014, kdy bylo odhalen až na základě upozornění od bank a vyšetřovatelů. V zásadě jde o totožný nebo velmi podobný způsob průniku jako u již zmíněného Targetu.

Vynecháme-li zanedbání bezpečnosti v podobě práce s nešifrovanými citlivými daty, nabízí se otázka, proč Home Depot či Target vlastně nepoužívali systémy ochraňující před úniky dat či systémy detekce průniku do sítí a řadu dalších běžně dostupných technologií.

Útočníci najdou slabiny či možnost jak se dostat do interní sítě společnosti, zjistí potřebné informace, zmapují možnosti a přímo na míru vytvoří software, jenž postupně nasadí na co nejvíce míst, kterými tečou, případně přímo přicházejí data. Pokud jsou tato data nedostatečně zabezpečena, získá přístup k informacím o platbách, číslech karet, včetně PIN a informací o držitelích. Zjištění PIN navíc v těchto případech znamená, že je možné vytvořit kopii karty a tu využít v bankomatu pro přímý výběr peněz.

Takto získané informace jsou shromažďovány v samotných systémech společnosti a průběžně či dávkově odesílány na systémy vlastněné útočníky, to vše bez vědomí o takovém konání. Získané informace jsou poté prodávany na černém trhu a nic netušící zákazníci přicházejí o peníze. Ty jim sice v USA běžně snadno vrátí jejich banka, ale vznikají tím další související problémy a náklady.

Podobným aktivitám přitom mohou zabránit, ať už přímo nebo pomocí zjištění podezřelých aktivit, odpovídající systémy počítačové bezpečnosti. V okamžiku možných průniků jde o IDS (Intrusion Detection Software) pomůcky, které dokážou detekovat snahu vniknout do systému. V pozdějších fázích DLP (Data Loss Protection) systémy, které umí sledovat aktivity v systémech a výrazně přispět k včasnému odhalení podezřelých aktivit. A to ať už jde o činnost hackerů z vnějšku nebo o útok zevnitř, často se objevující i od samotných zaměstnanců.

Je ovšem vidět, že v obou případech došlo i k selhání v otázce architektury vnitřní sítě, kdy bylo možné z vnějšku, tedy z internetu, proniknout až k samotným platebním terminálům a kasám a z nich získaná data opět dostávat ven. Podstatnou roli zde hraje nejspíše i přítomnost nedostatečně zabezpečených Windows XP systémů, které byly použité jako platební terminály.

Vlna úniků informací o platebních kartách a zákaznících v USA ukazuje, že řadu let tamní prodejci zanedbávali základní zásady bezpečnost, ochrany dat i šifrování dat. Ale včetně tolik potřebné prevence také ignorovali potřebu aktivní ochrany, vidět to bylo už i na případu společnosti Target, kde jejich bezpečností software hlásil podezřelé aktivity, ale zodpovědní lidé tomu nepřikládali důraz.

bitcoin školení listopad 24

Autor je CEO společnosti Safetica

 

Čtěte dále

Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně