数据泄露在四个美国零售链中透露
数据泄露在美国百货商店Chains Saks Fifth Avenue,Saks Offth,Lord&Taylor和Bakery-StyleCafé连锁Panera面包在过去的两天里。
在复活节星期天,哈德森湾是三家店铺链的母公司,证实,违反其支付系统损害了客户的个人信息。
该公司没有说有多少客户受到影响,但哈德森表示,违约表明,违约使其在线购物网站或其他品牌如哈德森的海湾店在加拿大。
在纽约的安全公司Gemini咨询之后,确认出现了一个被称为JokerStash或Fin7的网络犯罪集团窃取了五百万个属于三百百货店铺的顾客,其中125,000人在黑暗中出售。网。
根据Gemini咨询的说法,有证据表明,有证据表明,初步违规行为大约一年前,这意味着刑事团体负责的刑事集团已经没有收到几个月的客户数据。
网络犯罪集团已与大型酒店和餐厅链有关的违约,据说,在经理,主管和其他关键决策者上使用网络钓鱼电子邮件,以欺骗他们打开启动恶意软件,即启动妥协的附件。
Gemini分析报告称,突破强调转型到零售业务中更安全的EMV销售终端销售终端的重要性。“虽然许多大型零售商在2017年将乘坐旧世代Magstripe终端完全迁移到EMV,但报告称,几个全国链仍然没有这样做。”
报告称,报告称,盗窃了五百万支付卡,毫无疑问,在现代历史上最重要的信用卡,并将对北美的大量消费者产生负面影响。
然而,该报告还指出,近年来,美国和加拿大银行大家拥有欺诈检测能力,这将使他们能够尽量减少违反其客户的影响。
Leigh-Anne Galloway,网络安全性弹性领先于积极的技术,表示,如同自动银行机(ATM),销售点终端可能是一个被忽视的支付基础设施区域。“POS系统只是运行操作系统的计算机,如果它们不经常维护和更新,可能会易受利用。如果攻击者能够访问网络上的单个POS,则通常可以感染整个终端网络,“她说。
在复活节星期一,安全博主Brian Krebs透露,PanerabRead.com网站泄露了数百万的客户记录 - 包括姓名,电子邮件和物理地址,生日和客户信用卡号码的最后四位数字 - 至少八个月。
该公司被告知,在2017年8月的安全专家Dylan Houlihan的纯文本上提供了在PanerabRead.com上注册的任何人的个人数据,但Panera Back的信息安全主管Mike Gustavison首先被解雇了作为可能的骗局报告,然后在哈林汉一周的持续信息之后,古斯塔维森说Panera面包是“在决议上工作”。
但是,当公司未能采取行动解决问题八个月时,Houlihan表示,他设置了一个帕特班页面描述漏洞的页面,并报告了克莱斯的问题,谁报告了该网站仍然泄露纯文本的客户记录。
“更糟糕的是,记录可以被索引和爬行,以非常努力的努力,”他在他的克雷斯的安全博客帖子中写道。Krebs还报告说,在他通过电话与Panera的首席信息官John Meister发表讲话后,该公司将脱机搭乘网站。
根据Krebs,该网站稍后将在线放置,但客户数据不再似乎可以到达。该公司发表了一份声明,该问题已在克雷斯联系的两小时内得到了修复,但没有解释为什么Houlihan通知问题后的八个月内没有任何作用。
该声明表示,该公司的调查是持续的,但声称没有证据证据证据证书信息,也没有被访问或检索大量记录。
虽然目前尚不清楚公司的泄漏网站可能会出现多少Panera客户记录,但克雷布斯表示,该网站索引的客户编号表明数字可能高于七百万。
为了回应Krebs的报告,Panera发布了另一个宣布违反违约的严重性的陈述,指出只暴露了10,000名客户记录。
然而,在对他的原始故事的更新中,克雷布斯表示,持有安全的调查表明,这一违约可能远远超过七百万客户记录,漏洞也似乎扩展到Panera的商业广告,这提供了无数的餐饮公司。
“最后的数量,在这个违规行为中暴露的客户记录的数量似乎超过3700万,”Krebs表示。在撰写本文时,PanerabRead.com网站再次离线。
一位万事达卡公司纽泰特公司的董事Lisa Baergen对Panera面包突破,Lisa Baergen表示,公司名称改变,但故事保持不变。
“再次,客户已经泄露了他们的信息,因为公司的安全程序不良,他们继续单独依赖纯文本标识符和静态数据,如信用卡号,密码甚至简单的客户名称和电话号码,”她说。
根据Baergen的说法,验证和有效的保护客户的途径易于获得,越来越广泛地实施。
“这些是通过无源生物识别的多层安全解决方案,通过在交易过程中在线评估消费者的固有行为而不添加摩擦。
“这一现场证实的方法让公司确认消费者是合法的或者在损失公司之前的欺诈者,即使是正确的数据 - 也许被偷走了,”她说。
根据Baergen的说法,这种方法还避免了公司依赖于再次泄露的个人可识别客户数据。
“最终,随着时间的推移,转向更先进的多层解决方案将随着时间的推移将被盗的信息归咎于网络犯罪分子,因为被动生物识别验证藐视第三方使用,”她说。