2014 год подходит к концу, и он, безусловно, войдет в историю кибербезопасности. Отчасти тому виной череда кибератак на крупные компании розничной торговли в США. Большинство из них закончилась масштабными взломами и утечками личных и платежных данных.
Ритейлеры стали мишенями сложных кибератак уже какое-то время тому назад (см. прошлогодний пост об этом), но именно прошлогодний взлом Target Corporation привлек к себе особое внимание. Из-за кражи более 11 Гб данных кражи и около 110 миллионов пострадавших клиентов он сразу вошел в список крупнейших утечек в истории.
Нападавшие использовали вредоносное ПО BlackPOS для атаки на уязвимые платежные терминалы без двухточечного шифрования.
Инцидент дорого обошелся Target. Гендиректор и директор по информационным технологиям подали в отставку, разгневанных клиентов и власти пришлось успокаивать, а прибыль существенно упала.
2014: год бесконечных взломов ритейлеров
Tweet
Target не был единственным, хотя это едва ли может утешить. На протяжении 2014 года несколько других крупных розничных сетей сообщили о нападениях на них.
В их числе были:
— Neiman Marcus. Фактический взлом имел место в период с июля по октябрь 2013 года, но обнаружили его только в январе 2014 года. Изначально сообщалось, что, по крайней мере, 2400 карт Visa, MasterCard и Discover были затронуты. Позже выяснилось, что были скомпрометированы данные 1,1 миллиона человек.
— Michaels Stores, Inc., крупный ритейлер промышленных товаров и товаров для дома, объявил в конце января, что расследует потенциальную утечку данных, которая затрагивает неизвестное количество карт, использовавшихся в магазинах сети за последние несколько недель.
Это был не первый инцидент подобного рода для Michaels. В начале 2011 года его терминалы дебетовых карт были атакованы в 20 штатах. Это послужило причиной коллективного иска пострадавших клиентов.
В конце концов, было заявлено, что платежные карты от 2,6 до 3 миллионов клиентов Michaels были скомпрометированы в период с мая 2013 года по январь 2014 года. Затронута была и дочерняя компания Aaron Brothers, которая допустила утечку данных примерно 400 000 клиентов.
— Sally Beauty Supply объявил в марте о том, что стал жертвой успешной кибератаки, в результате которой преступники завладели «менее чем 25 000 записей, содержащих данные срока действия платежных карт (track 2)».
— Продуктовые сети Albertsons and SUPERVALU объявили в середине августа, что вследствие взлома могли утечь данные кредитных и дебетовых карт неизвестного числа клиентов различных магазинов в 18 штатах. Атака была активной примерно с 22 июня по 17 июля.
— Спустя несколько дней UPS объявила, что 51 ее магазин пострадал от «широкомасштабного вторжения вредоносных программ» весной этого года. Компания заявила, что неназванный вредонос избежал обнаружения «текущим антивирусным программным обеспечением» и был обнаружен только благодаря привлечению к расследованию сторонней охранной фирмы.
— Goodwill Industries. С&K Systems сообщила в сентябре, что Goodwill и два других неназванных ритейлера подверглись атакам, которые длились в течение 18 месяцев (с 1 февраля 2013 г. по 14 августа 2014 г.). Для добычи данных кредитных карт использовался троян Infostealer.rawpos.
— Home Depot была скомпрометирована, в результате чего утекла информация кредитных карт примерно 56 млн. покупателей в 2000 магазинах Home Depot в США и Канаде. Были украдены также 53 миллиона адресов электронной почты. Печально известная вредоносная программа Backoff для платежных терминалов стала главным виновником. В ноябре Home Depot признала, что инцидент обошелся компании в $43 млн.
— В октябре Dairy Queen также признала, что от той же самой Backoff пострадали 395 из 4500 её точек. Утекли имена клиентов, номера кредитных карт и даты истечения срока их действия, хотя точный масштаб взлома не известен.
«Компания не располагает свидетельствами утечки вследствие этого заражения другой личной информации клиентов, в частности, номеров социального страхования, PIN-кодов или адресов электронной почты», — отметила Dairy Queen в своем заявлении.
— Kmart признала в середине октября, что стала жертвой «инцидента с безопасностью платежей», длившегося большую часть сентября и начало октября. Компания заявила, что информационные системы оплаты были инфицированы неустановленной «новой формой вредоносных программ», которые избежали обнаружения антивирусным программным обеспечением. О количестве пострадавших клиентов компания не заикнулась.
Через несколько дней после сообщения Kmart о взломе банк First NBC подал федеральный групповой иск против компании. В нем говорилось, что отказ Kmart защитить информацию о клиентах при помощи «элементарных» мер безопасности переложил на банки ответственность за урон, понесенный клиентами от мошенничества.
— Сеть поставок офисных товаров Staples сообщила о ведущемся расследовании потенциального инцидента с данными кредитных карт. В ноябре Staples подтвердила факт выявления вредоносной программы для платежных терминалов. В остальном, компания ни словом не обмолвилась о количестве возможно пострадавших клиентов.
— Bebe заявила в начале декабря о том, что подверглась атаке в период с 8 по 26 ноября 2014 года. Пострадали только магазины в США, на Пуэрто-Рико и американских Виргинских островах. Масштаб атаки и использованные инструменты неизвестны.
В большинстве случаев к взломам привела активность вредоносного ПО для платежных терминалов. Эта угроза далеко не нова, но в «звезды» этого года BlackPOS/Kaptoxa и Backoff выявили степень уязвимости и плачевное состояние с безопасностью платежных терминалов в компаниях, которые ежедневно обрабатывают данные платежей тысяч людей. Очевидно, некоторые из жертв даже не потрудились принять самых базовых мер безопасности вроде внедрения антивредоносного ПО для платежных терминалов, большинство из которых являются машинами на базе Microsoft Windows.
При общем количестве жертв, превышающем сотни миллионов, данный вопрос становится горячей темой.
PoS-вредоносы эксплуатируют «врожденные» технические изъяны платёжных терминалов и уязвимости Windows.
Tweet
В своем анализе (читайте на Securelist) Костин Райю, Райан Нарейн и Рул Шейвенберг из «Лаборатории Касперского» показывают, что проблема носит явный технический характер. «Вполне ясно, что сети платёжных терминалов являются главными целями для атак вредоносного ПО, — пишут они. — Это утверждение особенно справедливо для США, в которых до сих пор не поддерживаются карты с чипами EMV. В отличие от магнитных полос, чипы EMV в кредитных картах нельзя просто клонировать, что делает их более устойчивыми. К сожалению, в США делают ставку на чип и подпись, а не на чип и ПИН-код. Это сводит на нет часть той дополнительной безопасности, которую EMV может привнести».
Тем не менее, по крайней мере, некоторые из жертв урок из происшедшего извлекли. Еще в апреле Target рассказала, что ускоряет планы по созданию полноценной системы на основе чипа и пин-кода для своих брендированных кредитных и дебетовых карт. Кроме того, компания также планирует установить терминалы, способные принимать смарт-карты, во всех своих магазинах уже к сентябрю.
В ноябре в Target объявили, что введут в строй свои новые смарт-карты «в начале следующего года». Замена REDcard обошлась компании более чем в 100 миллионов долларов. Столь круглая сумма кажется подходящим объяснением того, почему ритейлеры не спешили ввести смарт-карты ранее.
В конце ноября EWeek сообщил, что смарт-карты, «наконец, снискали признание в секторе розничной торговли» в США, что, безусловно, обнадеживает. Жаль лишь, что так долго тянули, и столько людей уже пострадали.