In English

20 januari, 2014

Intrånget hos amerikanska butikskedjan Target

I mitten av december gick den amerikanska butikskedjan Target ut med information om att de drabbats av ett dataintrång där angriparna stulit ungefär 40 miljoner kunders kreditkortsuppgifter. Andra veckan i januari släppte Target information om att ytterligare 70 miljoner kunders, namn, adresser, telefonnummer och epost stulits under samma dataintrång, dvs totalt ca 110 miljoner kreditkortsnummer.

I dagarna har mer information kommit ut där det visar sig att angriparna förmodligen lyckats ta sig in i Targets nätverk via en sårbar webbserver, lyckats ta över en server på det interna nätverket, vidare till kortterminalerna i butikerna och där installerat en mjukvara som läste av de kreditkortsnummer som hanterades och sparade dessa. Efter att ha samlat data i sex dagar har sedan informationen skickats ut via en annan intern dator på Targets nätverk till en FTP-server på en hackad webbsite och sedan vidare till en VPS (virtual private server) i Ryssland. Angriparna lyckades på detta sätt under två veckors tid lyckats föra ut 11 GB stulet data.

Undersökningar utförda av Brian Krebs pekar på att en rysk ung man från Odessa, Ukraina ligger bakom både mjukvaran som installerades på kortterminalerna och ett flertal underground-siter som nästan exklusivt sålt kreditkortsinformation från Target-butiker.

Den mjukvara (malware) som använts vid intrånget har vid test på virustotal.com inte identifierats som elakartad av någon av de över 40-talet kommersiella antivirus-produkter som virustotal använder sig av. Historisk data på virustotal tyder på att någon testade mjukvaran som användes vid Target-intrånget där redan den 11 december vilket stärker misstanken om att Target väntade närmare en vecka med att gå ut publikt med uppgifterna om intrånget; något som Target fått mycket kritik för i media och bloggar. Sökningar på virustotal tyder på att samma mjukvara använts vid andra intrång så tidigt som i juni 2013.

Om uppgifterna kring hur intrånget gått till stämmer så tyder det på stora brister i Targets nätverkssegmentering, uppdateringssrutiner och säkerhetsbevakning.

Att lyckas ta sig hela vägen från en sårbar webbserver till kortterminaler i butiker borde i ett väl uppsäkrat nätverk vara i princip omöjligt på grund av nätverkssegmentering med väl konfigurerade brandväggar. Att dessutom kunna skicka känsligt data från kortterminalerna till en intern server och sedan vidare ut på internet borde inte heller vara möjligt på ett nätverk med en basnivå av säkerhet. Vidare borde flera tecken på angriparnas aktivitet upptäckts om en korrekt säkerhetsbevakning av nätverkstrafik och loggar funnits.

Eftersom det handlar om kreditkortsinformation så måste Target brutit allvarligt mot datasäkerhetsstandarden PCI DSS som alla företag som hanterar kreditkortsuppgifter är skyldiga att följa. Följetongen lär fortsätta med forensics-arbete från PCI och ett sedvanligt ”blame-game” för att hitta den skyldige som lär få dryga böter som påföljd. Detta kommer dock förmodligen vara en liten kostnad jämfört med kostnaderna för PR. jurister, kundkontakter, nya kort, kreditbevakningar och ersättningar för köp genomförda med stulna kortuppgifter.

2007 drabbades amerikanska butikskedjan TJX av ett liknande intrång där 45,6 miljoner kreditkort stals. Uppskattningar av kostnaderna för detta hamnade på mellan 1 och 1,6 miljarder dollar om man räknar in samtliga kostnader.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.