您的位置: 网界网 > 周报全文 > 正文

[周报全文]“键盘记录器”后门 揭零售业数据泄露疑云

2014年09月22日 17:23:28 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:支付卡行业安全标准(PCI)统计数据显示,今年以来攻击美国零售业网络系统的“Backoff”,是一款“键盘记录器”后门木马程序,迄今已感染了1000余家美国零售商。

标签
后门
数据泄露
键盘记录器
支付卡行业安全标准(PCI)统计数据显示,今年以来攻击美国零售业网络系统的“Backoff”,是一款“键盘记录器后门木马程序,迄今已感染了1000余家美国零售商。

PCI委员会日前发表了一份公告,敦促零售商立即对其安全控制系统进行评估,并确保零售商的POS系统能够有效抵御“键盘记录器”这款曾用于去年零售商Target数据泄露事件的恶意软件工具。

公告明确指出所有涉事零售商必须及时更新杀毒软件套装,并更改默认密码和员工密码来保证关键的支付系统和应用程序的访问安全。同时,PCI委员会也敦促商家检查系统日志中异常及原因不明的活动,特别是那些涉及转移到未知位置的大型数据集。

PCI委员会另外还建议商家考虑PCI许可的交互点(POI)设备如何在支付终端刷卡时,能够实现加密信用卡和借记卡数据。同时商家还应该考虑部署点对点加密技术,以确保卡内数据仍然能够得到有力保护,直到数据接收到一个安全的解密工具。

自公告反映出此次黑客使用“键盘记录器”后门程序从POS系统窃取支付卡数据这一严重的数据泄露事件后,大众明显对支付行业数据安全越来越关注。

事实上,此恶意软件在去年10月就已经出现,但直到本月才被检测出来。

美国国土安全部和特勤局表示,“键盘记录器”已经感染了1000多家大、中、小型企业的POS系统,包括美国著名的超市Target和商场Neiman Marcus。仅Target数据泄露事故中,就有超过4000万的信用卡付款数据信息遭泄漏,而Neiman Marcus则有110万信用卡的数据被窃取。

在前不久发布的一份公报中,美国国土安全部和特勤局表示,他们对过去一年涉及“键盘记录器”后门的“大数额事件”已经做出过反应。到目前为止,POS系统的七家供应商均已证实,多数客户均受到了此恶意软件的影响。

国土安全部和特勤局在7月警告零售商,关于Target严重数据泄露事件是源于“键盘记录器”后门,随后PCI委员会便于日前发布公告。公告警示说(+微信关注网络世界),攻击者还会利用常用的企业远程访问工具进入零售POS系统,并植入“键盘记录器”恶意软件程序。

独立的PCI安全顾问James Huguelet认为:PCI公告已经引发了共识,那就是恶意软件的传播范围比先前认为的更加广泛。

所有的PCI委员会公报中概述的步骤都是安全标准措施。Huguelet说:“但有时非常有必要类似这样的一种警示提醒大家,支付系统的数据处理链安全是何等重要。”

有趣的是,PCI委员会之前的公告总是会特别提到支付卡数据端到端的加密。Huguelet说。执行端到端的加密将完全消除付款程序链中“键盘记录器”带来的威胁,但到目前为止,零售商还没有迈出这一步。

Gartner分析师Avivah Litan认为,公告可能没有太大的意义。“伤害已经造成,PCI合规流程并未阻止这种攻击。”同时她又说:“它还没有新的规则或规定,PCI公告只是试图证明‘键盘记录器’和连续发生的数据泄露事件是相关的,并且证明他们已经有了防止此类恶性事件再度发生的能力。”

仅仅要求零售商遵守PCI合规并不足以减轻支付系统风险。Litan补充道:“PCI委员会和银行卡分支网点、银行、付款处理器都需要强有力的安全举措,使支付系统更加有保障,并停止将所有责任推卸给零售商来修补其本来就有缺陷的系统。”(鹿宁宁编译,更多内容详见: http://www.cnw.com.cn/P/5960)

[责任编辑:孙可 sun_ke@cnw.com.cn]