התוקפים שמאחורי הפרת כרטיסי האשראי של טארגט עברו גם הם על לקוחות בחנויות קמעונאיות אחרות ברחבי הארץ, כולל הקמעונאית המתקדמת ניימן מרכוס. אולי הגיע הזמן לחזור פשוט להשתמש במזומן.
קונים כבר מרגיזים לאחר שטארגט דיווחה על הפרת כרטיסי אשראי במהלך תקופת החגים מתמודדים כעת עם הסיכוי שההתקפות היו נפוצות בהרבה ממה שחשבו במקור. נראה כי יעד לא הייתה הקמעונאית היחידה שנפגעה בהפרה זו, שכן ניימן מרקוס ולפחות שלוש קמעונאים אחרים חוו תקריות דומות באותה תקופה, כך דיווחה רויטרס. מומחי אבטחה מזהירים זה מכבר כי בנקים, מעבדי כרטיסי אשראי וקמעונאים אינם נוקטים בצעדים הדרושים לאבטחת נתוני כרטיסי התשלום ומידע אישי, ומותירים לקוחות חשופים להונאה וגניבת זהות.
אנאפ גוש, מייסד אנאפ גוש, אמר כי "ההשפעה של הפרת היעד ושל קמעונאים אחרים בנסיבות דומות (וטרם נחשפה במלואה) יכולה להיות בעלת השלכות מרחיקות לכת על אמון הצרכנים והשפעתם על כלכלת ארה"ב, אלא אם כן יינקטו צעדים לטיפול מייד בפגיעות זו. ומנכ"ל חברת האבטחה Invincea.
נמצאו עוד קורבנות
ניימן מרכוס גילה את פריצתו ב -1 בינואר, לאחר שקיבל דיווחים ממעבד כרטיסי אשראי על חיובים בלתי מורשים על חשבונותיהם של אנשים שרכשו בחנויותיה, דיווח סופר האבטחה בריאן קרבס. נראה כי ההתקפה הינה בסדר גודל קטן יותר, כאשר פחות ממיליון כרטיסים נפגעו.
בעוד שקרבס לא היה בטוח אם הפרה זו קשורה למתקפה על היעד, גורמים אמרו לסוכנות הידיעות רויטרס כי המקרים השתמשו בטכניקות דומות וניתן לקשר אותם. בדומה לטרגט, ניימן מרקוס אמר שרק קונים שהשתמשו בכרטיסים שלהם בחנות הושפעו ולא קונים ברשת.
Target דיווחה בתחילה כי 40 מיליון קונים שהשתמשו בכרטיס האשראי שלהם באחד משקעי השיווק שלו במהלך עונת קניות החגים הושפעו מהפרת כרטיסי אשראי. בשבוע שעבר הודה מנכ"ל חברת Target כי ההפרה הייתה גדולה מכפי שחשבו במקור, מכיוון שנגנבו מידע אישי של לפחות 70 מיליון לקוחות, כולל שמות, כתובות דואר, מספרי טלפון וכתובות דוא"ל. יתכן שיש חפיפה מסוימת בקרב הלקוחות בין 40 מיליון הראשונים לבין 70 מיליון המאוחרים, אך Target לא הצליחה לומר כמה נספרו פעמיים. יעד הודה גם כי כל הקונים בארה"ב במהלך 2013 היו בסיכון, ולא רק אלה שביקרו בחנות במהלך תקופת החגים.
שאלות, אך אין תשובות
החקירה עדיין נמצאת בשלבים המוקדמים, כך שיש יותר שאלות מאשר תשובות בשלב זה. מומחים בתחום האבטחה מציינים מערך אתגרים חדש לחלוטין.
כרגע השאלה הגדולה היא "האם אני מושפע?" וקשה לדעת. סוכנות הידיעות רויטרס אמרה כי שלוש קמעונאיות נוספות בוחנות כעת, אך לא חשפו בפומבי את ההפרה בשלב זה. ייתכן גם שהיו פריצות אחרות, קטנות יותר, מוקדם יותר בשנת 2013, שעדיין לא פורסמו.
גוש אמר כי "על כל הקמעונאים לטעות בצד לגלות את כל הצרכנים שנפגעים פוטנציאליים ובו בזמן לחשוף באופן מלא את מה שהם יודעים על ההפרה וכיצד זה קרה".
ניימן מרקוס אמר כי הוא מודיע ללקוחות שביצעו עסקאות הונאה בחשבונותיהם, אך הדבר משאיר הרבה צרכנים אשר קנו בחנויות תוהים ומחכים לחדשות רעות. זה יוצר את מה שמומחה מכנה "לימבו אבטחת נתונים", שכן המשתמשים מודעים להפרה, אך אינם יכולים לנקוט בצעדים כלשהם עד לקבלת אישור. עוד אמר טארגט כי הוא מודיע ללקוחות על גניבת מידע אישי אם כתובת דואר אלקטרוני הייתה בתיק.
התראה סלקטיבית מסוג זה פותחת חלון הזדמנויות עבור התוקפים לצאת לפיגועים משניים, אמר אנג'ל גרנט, מנהל פתרונות נגד הונאה ב- RSA. התוקפים יכולים לנצל את הבלבול בכדי לשלוח הודעות דוא"ל או אפילו לבצע שיחות טלפון להונאת משתמשים כדי לחשוף את המידע האישי שלהם ואת פרטי כרטיס התשלום שלהם. משתמשים צריכים להיות ערניים לניסיונות דיוג מעקב בעקבות ההפרה הזו.
שתיקה מסוכנת
אמנם מובן לרצות לשמור על מידע קרוב לפני שהחקירה תושלם, אך זה לא עוזר לקמעונאים אחרים. היעד אינו דן במה שקרה, וניימן מרקוס עוד יותר מקרב את השיטות בהן השתמשו התוקפים. נכון לעכשיו, טרגט הודה שתוכנת נקודת המכירה שלה נפגעה, וסוכנות הידיעות רויטרס מציינות מקורות שלדבריהם התוקפים השתמשו במגרד זיכרון RAM, סוג של תוכנה זדונית שתופסת את הנתונים הזמניים בזיכרון המחשב. לאחרונה התרחש התקפות באמצעות ניתוח תוכנות זדוניות לניתוח זיכרון, ויזה אף פרסמה התראות עם מידע טכני כיצד לסכל התקפות מסוג זה בשנה שעברה.
אמנם לא היה ברור אם Target או קמעונאים אחרים יישמו אחת מהשיטות להתגונן מפני התקפות אלה, אך גורמים אמרו לסוכנות הידיעות רויטרס כי התוקפים היו הרבה יותר מתוחכמים והיו מסוגלים לעקוף את הצעדים הללו. על סמך העובדה שנגנבו מידע אישי, סביר להניח שההפרה של Target הייתה "פשרה רחבה יותר של רשת Target מאשר רק מכונות PoS", אמר גוש.
קמעונאים ככל הנראה חוקרים את הרשתות שלהם ומנסים להבין אם הם גם הושפעו. כאן מועיל שיתוף מידע בין קמעונאים.
לגביך ואותי, אולי עלינו להישאר במזומן לפי שעה. זה בטוח יותר, והדבר היחיד שצריך לדאוג לו הוא הכייסים.
