Video: Former Saks CEO on the long-term impact of coronavirus on the retail industry (November 2024)
De aanvallers achter de creditcardbreuk van Target gingen ook achter klanten aan bij andere retailers in het hele land, waaronder de high-end retailer Neiman Marcus. Misschien is het tijd om terug te gaan naar alleen contant geld gebruiken.
Shoppers die al nerveus waren nadat Target een schending van een creditcard tijdens de feestdagen had gemeld, worden nu geconfronteerd met het vooruitzicht dat de aanvallen veel meer verspreid waren dan oorspronkelijk gedacht. Het lijkt erop dat Target niet de enige detailhandelaar was die bij deze inbreuk betrokken was, omdat Neiman Marcus en ten minste drie andere detailhandelaren vergelijkbare incidenten ervoeren tijdens dezelfde periode, meldde Reuters. Beveiligingsexperts waarschuwen al lang dat banken, creditcardverwerkers en retailers niet de nodige stappen ondernemen om betaalkaartgegevens en persoonlijke informatie te beveiligen, waardoor klanten kwetsbaar worden voor fraude en identiteitsdiefstal.
"De impact van de Target-inbreuk en andere retailers in vergelijkbare omstandigheden (en nog niet volledig bekendgemaakt) kan verstrekkende gevolgen hebben voor het consumentenvertrouwen en de impact op de Amerikaanse economie, tenzij er stappen worden ondernomen om dit beveiligingslek onmiddellijk aan te pakken, " zei Anup Ghosh, oprichter en CEO van beveiligingsbedrijf Invincea.
Meer slachtoffers gevonden
Neiman Marcus ontdekte de inbreuk op 1 januari, nadat hij rapporten van een creditcardverwerker had ontvangen over mogelijke ongeautoriseerde afschrijvingen op de rekeningen van mensen die in zijn winkels hadden gewinkeld, meldde veiligheidsschrijver Brian Krebs. De aanval lijkt op een kleinere schaal, met minder dan een miljoen kaarten gecompromitteerd.
Hoewel Krebs niet zeker was of deze inbreuk verband hield met de aanval op Target, vertelden bronnen Reuters dat de incidenten vergelijkbare technieken gebruikten en konden worden gekoppeld. Net als Target zei Neiman Marcus dat alleen shoppers die hun kaarten in de winkel gebruikten, werden getroffen, niet online shoppers.
Target rapporteerde aanvankelijk dat 40 miljoen shoppers die hun creditcard in een van de winkels tijdens het vakantieseizoen gebruikten, werden getroffen door een creditcardbreuk. Vorige week erkende de CEO van Target dat de inbreuk groter was dan oorspronkelijk gedacht, omdat persoonlijke informatie van ten minste 70 miljoen klanten, waaronder namen, postadressen, telefoonnummers en e-mailadressen, ook werd gestolen. Er kan enige overlap zijn bij klanten tussen de eerste 40 miljoen en de latere 70 miljoen, maar Target kon niet zeggen hoeveel er twee keer werden geteld. Target gaf ook toe dat alle Amerikaanse shoppers in 2013 risico liepen, niet alleen degenen die tijdens de feestdagen de winkel bezochten.
Vragen, maar geen antwoorden
Het onderzoek bevindt zich nog in een vroeg stadium, dus er zijn op dit moment meer vragen dan antwoorden. Dit stelt een hele nieuwe reeks uitdagingen voor, aldus beveiligingsexperts.
Op dit moment is de grote vraag: "Heb ik er last van?" en het is moeilijk te zeggen. Reuters zei dat drie andere retailers momenteel onderzoek deden, maar de inbreuk op dit moment nog niet openbaar hadden gemaakt. Het is ook mogelijk dat er eerder in 2013 andere, kleinere inbreuken waren die nog niet zijn gepubliceerd.
"Alle detailhandelaren moeten zich vergissen aan de kant van het openbaar maken van alle consumenten die mogelijk worden getroffen, terwijl ze tegelijkertijd volledig bekendmaken wat ze weten over de inbreuk en hoe het is gebeurd, " zei Ghosh.
Neiman Marcus zei dat het klanten op de hoogte bracht die frauduleuze transacties op hun rekeningen hadden geplaatst, maar dit laat veel consumenten die winkelen in de winkels zich afvragen en wachten op slecht nieuws. Het creëert wat een expert "gegevensbeveiligingslimbo" noemt, omdat gebruikers zich bewust zijn van een inbreuk, maar geen stappen kunnen ondernemen totdat ze bevestiging ontvangen. Target zei ook dat het klanten op de hoogte bracht van persoonlijke gegevens die werden gestolen als er een e-mailadres was opgeslagen.
Dit soort selectieve melding opent een kans voor aanvallers om secundaire aanvallen uit te voeren, zei Angel Grant, directeur van fraudebestrijdingsoplossingen bij RSA. Aanvallers kunnen profiteren van de verwarring om e-mails te verzenden of zelfs om oplichters te bellen om hun persoonlijke gegevens en betaalkaartgegevens te onthullen. Gebruikers moeten waakzaam zijn voor follow-up phishing-pogingen na deze inbreuk.
Stilte is gevaarlijk
Hoewel het begrijpelijk is om informatie bij de hand te willen houden totdat het onderzoek is voltooid, helpt het andere retailers niet. Target bespreekt niet wat er is gebeurd, en Neiman Marcus is nog bekrompener over de methoden die de aanvallers mogelijk hebben gebruikt. Op dit moment heeft Target toegegeven dat de software van het verkooppunt is aangetast, en Reuters haalt bronnen aan die zeggen dat de aanvallers een RAM-scraper gebruikten, een soort malware die de tijdelijke gegevens in het geheugen van de computer vastlegt. Er is de laatste tijd sprake van een toename van aanvallen met geheugenparsing-malware en Visa heeft vorig jaar zelfs waarschuwingen gegeven met technische informatie over hoe dit soort aanvallen te dwarsbomen.
Hoewel het niet duidelijk was of Target of andere retailers een van de methoden hadden geïmplementeerd om zich tegen deze aanvallen te verdedigen, vertelden bronnen Reuters dat de aanvallers veel geavanceerder waren en deze maatregelen hadden kunnen omzeilen. Gebaseerd op het feit dat persoonlijke informatie werd gestolen, was het meer dan waarschijnlijk dat de inbreuk van Target "een breder compromis van het netwerk van Target was dan alleen PoS-machines, " zei Ghosh.
Retailers onderzoeken waarschijnlijk hun netwerken en proberen erachter te komen of ze ook zijn getroffen. Dit is waar het delen van informatie tussen detailhandelaren nuttig zou zijn.
Wat u en mij betreft, misschien moeten we voorlopig bij contant geld blijven. Het is veiliger en het enige waar u zich zorgen over hoeft te maken is zakkenrollers.
