La famigerata violazione della sicurezza di Target che ha rivelato le informazioni finanziarie e personali di decine di milioni di americani alla fine dell'anno scorso è stata il risultato dell'incapacità dell'azienda di mantenere le sue operazioni di routine e le funzioni di manutenzione su una rete separata dalle funzioni di pagamento critiche, secondo le informazioni fornite dalla sicurezza il ricercatore Brian Krebs, che per primo ha segnalato la violazione a dicembre.
Target la scorsa settimana ha rivelato al Wall Street Journal che la violazione iniziale della sua rete è stata rintracciata per informazioni di accesso rubate da un fornitore di terze parti. Krebs ora riferisce che il fornitore in questione era Fazio Mechanical Services, una società con sede a Sharpsburg, in Pennsylvania, che aveva stipulato un contratto con Target per fornire installazione e manutenzione di refrigerazione e HVAC. Il presidente di Fazio Ross Fazio ha confermato che la società è stata visitata dal servizio segreto degli Stati Uniti nell'ambito dell'indagine, ma non ha ancora rilasciato dichiarazioni pubbliche sul coinvolgimento segnalato delle credenziali di accesso assegnate ai suoi dipendenti.
Ai dipendenti Fazio è stato concesso l'accesso remoto alla rete di Target per monitorare parametri come il consumo di energia e le temperature di refrigerazione. Tuttavia, poiché secondo quanto riferito Target non è riuscito a segmentare la propria rete, ciò significa che gli hacker esperti potrebbero utilizzare le stesse credenziali remote di terze parti per accedere ai server dei punti vendita sensibili (POS) del rivenditore. Gli hacker ancora sconosciuti hanno approfittato di questa vulnerabilità per caricare malware sulla maggior parte dei sistemi POS di Target, che ha poi acquisito il pagamento e le informazioni personali di un massimo di 70 milioni di clienti che hanno fatto acquisti nel negozio tra la fine di novembre e la metà di dicembre.
Questa rivelazione ha messo in dubbio la caratterizzazione dell'evento da parte dei dirigenti Target come un furto informatico sofisticato e imprevisto. Mentre il malware caricato era davvero piuttosto complesso e mentre i dipendenti di Fazio condividono la colpa per aver permesso il furto delle credenziali di accesso, resta il fatto che entrambe le condizioni sarebbero state rese discutibili se Target avesse seguito le linee guida di sicurezza e segmentato la sua rete per mantenere isolati i server di pagamento da reti che consentono un accesso relativamente ampio.
Jody Brazil, fondatore e CTO della società di sicurezza FireMon, ha spiegato a Computerworld : "Non c'è niente di speciale. Target ha scelto di consentire l'accesso di terzi alla propria rete, ma non è riuscito a proteggere adeguatamente tale accesso. "
Se altre aziende non imparano dagli errori di Target, i consumatori possono aspettarsi che seguano ancora più violazioni. Stephen Boyer, CTO e co-fondatore della società di gestione del rischio BitSight, ha spiegato: “Nell'odierno mondo delle iper-reti, le aziende stanno lavorando con sempre più partner commerciali con funzioni come la raccolta e l'elaborazione dei pagamenti, la produzione, l'IT e le risorse umane. Gli hacker trovano il punto di ingresso più debole per accedere a informazioni sensibili e spesso quel punto si trova all'interno dell'ecosistema della vittima. "
Non è stato ancora riscontrato che Target abbia violato gli standard di sicurezza del settore delle carte di pagamento (PCI) a seguito della violazione, ma alcuni analisti prevedono problemi nel futuro dell'azienda. Sebbene altamente raccomandato, gli standard PCI non richiedono alle organizzazioni di segmentare le proprie reti tra le funzioni di pagamento e non di pagamento, ma rimangono alcuni dubbi sul fatto che l'accesso di terze parti di Target abbia utilizzato l'autenticazione a due fattori, che è un requisito. Le violazioni degli standard PCI possono comportare multe ingenti e l'analista di Gartner Avivah Litan ha dichiarato al sig. Krebs che la società potrebbe subire sanzioni fino a $ 420 milioni per la violazione.
Il governo ha anche iniziato ad agire in risposta alla violazione. L'amministrazione Obama ha raccomandato questa settimana l'adozione di leggi più severe in materia di sicurezza informatica, introducendo sia sanzioni più severe per i trasgressori, sia requisiti federali per le aziende che devono informare i clienti sulla scia delle violazioni della sicurezza e seguire alcune pratiche minime in materia di politiche sui dati informatici.
