[ad_1]

La semaine dernière, Cible dit aux journalistes à Le journal de Wall Street et Reuter que l’intrusion initiale dans ses systèmes a été attribuée à des informations d’identification réseau qui ont été volées à un fournisseur tiers. Des sources disent maintenant à BreachTrace que le fournisseur en question était un sous-traitant de réfrigération, de chauffage et de climatisation qui a travaillé dans un certain nombre d’emplacements chez Target et d’autres grands détaillants.

hvachooverDes sources proches de l’enquête ont déclaré que les attaquants avaient fait irruption dans le réseau du détaillant le 15 novembre 2013 en utilisant des informations d’identification réseau volées à Services Mécaniques Fazioun fournisseur de réfrigération et de Systèmes CVC.

Fazio président Ross Fazio a confirmé que le Services secrets américains s’est rendu dans les bureaux de son entreprise dans le cadre de l’enquête Target, mais a déclaré qu’il n’était pas présent lors de la visite. Vice-président Fazio Daniel Mitsch a refusé de répondre aux questions sur la visite. Selon la page d’accueil de l’entreprise, Fazio Mechanical a également réalisé des projets de réfrigération et de CVC pour des sites spécifiques de Trader Joe’s, Whole Foods et BJ’s Wholesale Club en Pennsylvanie, Maryland, Ohio, Virginie et Virginie-Occidentale.

Porte-parole cible Molly Snyder a déclaré que la société n’avait aucune information supplémentaire à partager, citant une « enquête très active et en cours ».

On ne sait pas immédiatement pourquoi Target aurait donné à une entreprise de CVC un accès au réseau externe, ou pourquoi cet accès ne serait pas isolé du réseau du système de paiement de Target. Mais selon un expert en cybersécurité d’un grand détaillant qui a demandé à ne pas être nommé parce qu’il n’était pas autorisé à parler officiellement, il est courant que les grandes opérations de vente au détail aient une équipe qui surveille régulièrement la consommation d’énergie et les températures dans les magasins pour économiser sur les coûts (en particulier la nuit) et d’alerter les responsables de magasin si les températures dans les magasins fluctuent en dehors d’une plage acceptable qui pourrait empêcher les clients de faire leurs achats en magasin.

« Pour prendre en charge cette solution, les fournisseurs doivent pouvoir se connecter à distance au système afin d’effectuer la maintenance (mises à jour, correctifs, etc.) ou de résoudre les problèmes et les problèmes de connectivité avec le logiciel », a déclaré la source. « Cela rejoint le thème des économies de coûts, avec autant de solutions dans une organisation donnée. Et pour économiser sur les effectifs, il est parfois avantageux de permettre à un fournisseur de soutenir plutôt que de former ou d’embaucher des personnes supplémentaires.

COFFRAGE DU JOINT

okcible

Les enquêteurs ont également partagé des détails supplémentaires sur la chronologie de la violation et sur la manière dont les attaquants ont déplacé les données volées hors du réseau de Target.

Des sources ont déclaré qu’entre le 15 novembre et le 28 novembre (Thanksgiving et la veille du Black Friday), les attaquants ont réussi à télécharger leur logiciel malveillant voleur de cartes sur un petit nombre de caisses enregistreuses dans les magasins Target.

Ces mêmes sources ont déclaré que les attaquants avaient utilisé ce temps pour tester que leur logiciel malveillant de point de vente fonctionnait comme prévu.

À la fin du mois – à peine deux jours plus tard – les intrus avaient poussé leur logiciel malveillant sur la majorité des appareils de point de vente de Target et collectaient activement les enregistrements de carte des transactions client en direct, ont déclaré les enquêteurs à ce journaliste. Target a déclaré que la violation avait exposé environ 40 millions de comptes de cartes de débit et de crédit entre le 27 novembre et le 15 décembre 2013.

BAISSES DE DONNÉES

Alors que certains rapports sur la violation de Target indiquaient que les données de la carte volée avaient été déchargées via des communications FTP vers un emplacement en Russie, des sources proches du dossier affirment qu’une grande partie des informations financières volées ont été transmises à plusieurs emplacements de « dépôt ».

Il s’agissait essentiellement d’ordinateurs compromis aux États-Unis et ailleurs qui servaient à héberger les données volées et qui pouvaient être consultés en toute sécurité par les auteurs présumés en Europe de l’Est et en Russie.

Par exemple, les données de carte volées sur le réseau de Target ont été cachées sur des serveurs informatiques piratés appartenant à une entreprise à Miami, tandis qu’un autre serveur de dépôt résidait au Brésil.

globeauth

Les enquêteurs affirment que les États-Unis demandent actuellement une entraide judiciaire aux autorités brésiliennes pour accéder aux données Target sur le serveur là-bas.

On ne sait toujours pas, lorsque la poussière retombera de cette enquête, si Target sera responsable du non-respect des normes de sécurité de l’industrie des cartes de paiement (PCI), des violations pouvant entraîner de lourdes amendes.

Aviva Litanun analyste de la fraude avec Gartner Inc.a déclaré que bien que la norme PCI actuelle (PDF) n’oblige pas les organisations à maintenir des réseaux séparés pour les opérations de paiement et de non-paiement (page 7), elle oblige les commerçants à intégrer une authentification à deux facteurs pour l’accès au réseau à distance provenant de l’extérieur du réseau par le personnel et tous les tiers — y compris l’accès du fournisseur pour le support ou la maintenance (voir section 8.3).

En tout cas, Litan estime que Target pourrait faire face à des pertes pouvant atteindre 420 millions de dollars à la suite de cette violation, y compris le remboursement associé au recouvrement par les banques des coûts de réémission de millions de cartes ; amendes des marques de cartes pour non-conformité PCI ; et les coûts directs du service client Target, y compris les frais juridiques et la surveillance du crédit pour des dizaines de millions de clients touchés par la violation.

Litan note que ces estimations ne tiennent pas compte des montants que Target dépensera à court terme pour mettre en œuvre la technologie à ses caisses pour accepter des puce et code PIN cartes de crédit et de débit. Lors d’un témoignage devant les législateurs à Capitol Hill hier, le vice-président exécutif et directeur financier de Target mentionné la mise à niveau des systèmes du détaillant pour gérer la puce et le code PIN pourrait coûter 100 millions de dollars.

Target peut être en mesure de couvrir certains de ces coûts grâce à un réseau maillé de réclamations d’assurance professionnelle. Selon une histoire du 19 janvier sur businessinsurance.comTarget dispose d’au moins 100 millions de dollars de cyber-assurance et de 65 millions de dollars de couverture de responsabilité civile pour les administrateurs et les dirigeants.

Mise à jour, 6 février, 15 h 33 HE : Fazio Mechanical Services vient de publier une déclaration officielle par l’intermédiaire d’une société de relations publiques, indiquant que sa « connexion de données avec Target était exclusivement destinée à la facturation électronique, à la soumission de contrats et à la gestion de projets ». L’intégralité de leur déclaration est ci-dessous :

Fazio Mechanical Services, Inc. accorde une importance primordiale à la sécurité des données et informations confidentielles des clients. Bien que nous ne puissions pas commenter l’enquête fédérale en cours sur les causes techniques de la violation, nous souhaitons clarifier des faits importants liés à cette affaire :

– Fazio Mechanical n’effectue pas de surveillance ou de contrôle à distance des systèmes de chauffage, de refroidissement et de réfrigération pour Target.

– Notre connexion de données avec Target était exclusivement destinée à la facturation électronique, à la soumission de contrats et à la gestion de projets, et Target est le seul client pour lequel nous gérons ces processus à distance. Aucun autre client n’a été touché par la violation.

– Notre système informatique et nos mesures de sécurité sont entièrement conformes aux pratiques de l’industrie.

Comme Target, nous sommes victimes d’une opération de cyberattaque sophistiquée. Nous coopérons pleinement avec les services secrets et Target pour identifier la cause possible de la violation et pour aider à créer des initiatives proactives qui amélioreront encore la sécurité des connexions client/fournisseur en les rendant moins vulnérables aux futures violations.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *