Pelanggaran keselamatan Sasaran terkenal yang mendedahkan maklumat kewangan dan peribadi berpuluh-puluh juta orang Amerika lewat tahun lepas adalah akibat kegagalan syarikat untuk mengekalkan operasi rutin dan fungsi penyelenggaraannya di rangkaian berasingan dari fungsi pembayaran kritikal, menurut maklumat dari keselamatan penyelidik Brian Krebs, yang pertama kali melaporkan pelanggaran pada bulan Disember.
Sasaran minggu lalu mendedahkan kepada The Wall Street Journal bahawa pelanggaran awal rangkaiannya dikesan untuk maklumat login yang dicuri daripada vendor pihak ketiga. Encik Krebs kini melaporkan bahawa vendor yang dimaksudkan ialah Fazio Mechanical Services, Sharpsburg, firma yang berpangkalan di PA yang menguncup dengan Target untuk menyediakan pemasangan dan penyelenggaraan penyejukan dan HVAC. Presiden Fazio, Ross Fazio mengesahkan bahawa syarikat itu telah dikunjungi oleh Perkhidmatan Rahsia AS sebagai sebahagian daripada siasatan, tetapi belum lagi membuat sebarang kenyataan umum mengenai penglibatan dilaporkan tentang kelayakan login yang diberikan kepada pekerja.
Pekerja Fazio diberikan akses jauh ke rangkaian Sasaran untuk memantau parameter seperti penggunaan tenaga dan suhu penyejukan. Tetapi kerana Target dilaporkan gagal menyatukan rangkaiannya, ini bermakna hacker yang berilmu dapat menggunakan kelayakan jauh pihak ketiga yang sama untuk mengakses pelayan pusat jualan sensitif (POS) peruncit. Peretas yang masih tidak diketahui mengambil kesempatan terhadap kelemahan ini untuk memuat naik malware ke majoriti sistem POS Sasaran, yang kemudian menangkap pembayaran dan maklumat peribadi sehingga 70 juta pelanggan yang berbelanja di kedai antara akhir November dan pertengahan Disember.
Wahyu ini telah menimbulkan keraguan mengenai pencirian acara oleh para eksekutif Sasaran sebagai kecurian siber yang canggih dan tidak diduga. Walaupun malware yang dimuat naik sememangnya agak rumit, dan sementara pekerja Fazio berkongsi beberapa kesalahan kerana membenarkan kecurian log masuk, hakikatnya tetap sama ada keadaan telah dijatuhkan jika Target telah mematuhi garis panduan keselamatan dan membahagikan rangkaiannya untuk memastikan pelayan pembayaran terpencil dari rangkaian yang membolehkan akses yang luas.
Jody Brazil, pengasas dan CTO firma keselamatan FireMon, menjelaskan kepada Computerworld , "Tidak ada yang mewah tentang. Sasaran memilih untuk membenarkan akses pihak ketiga ke rangkaiannya, tetapi gagal menjamin akses itu dengan betul. "
Jika syarikat lain gagal belajar daripada kesilapan Sasaran, pengguna boleh mengharapkan lebih banyak pelanggaran untuk diikuti. Stephen Boyer, CTO dan pengasas bersama firma pengurusan risiko BitSight, menjelaskan, "Di dunia berlogu yang berorientasikan hari ini, syarikat-syarikat bekerja dengan lebih banyak rakan kongsi perniagaan dengan fungsi seperti pungutan pembayaran dan pemprosesan, pembuatan, IT, dan sumber manusia. Peretas mencari titik masuk yang paling lemah untuk mendapatkan akses kepada maklumat sensitif, dan sering perkara itu berada dalam ekosistem mangsa. "
Sasaran belum ditemui telah melanggar standard keselamatan industri kad pembayaran (PCI) akibat daripada pelanggaran itu, tetapi beberapa penganalisis meramalkan masalah masa depan syarikat. Walaupun sangat disyorkan, piawaian PCI tidak memerlukan organisasi untuk menyatukan rangkaian mereka antara fungsi pembayaran dan bukan pembayaran, tetapi masih ada persoalan sama ada akses pihak ketiga Sasaran menggunakan pengesahan dua faktor, yang merupakan keperluan. Pelanggaran terhadap piawaian PCI dapat mengakibatkan denda besar, dan penganalisis Gartner, Avivah Litan memberitahu Mr. Krebs bahwa perusahaan dapat menghadapi penalti hingga $ 420 juta atas pelanggaran tersebut.
Kerajaan juga mula bertindak sebagai tindak balas terhadap pelanggaran tersebut. Pentadbiran Obama minggu ini mencadangkan penggunaan undang-undang keselamatan siber yang lebih keras, membawa kedua-dua penalti lebih berat untuk pesalah serta keperluan persekutuan bagi syarikat-syarikat untuk memberitahu pelanggan berikutan pelanggaran keselamatan dan mengikuti amalan minimum tertentu berkaitan dengan dasar data siber.
