Nem kell csalódnia azoknak, akik esetleg hiányolták volna az elmúlt hónapok adatvesztési illetve adatlopási botrányaiból az USA talán legnagyobb üzletláncának, a Wall-Mart-nak a nevét.
A Wired birtokába került ugyanis egy halom belsős jelentés, melyek igen vészjósló képet festenek a vállalat belső infrastruktúrájának védelméről. Bár a Wall-Mart 2006-ban megfelelt a PCI biztonsági előírásainak, az ezt megelőző években - és ezt most hivatalosan is megerősítették - tetemes mennyiségű bizalmas adat került illetéktelenek kezébe.
Minderre a bolthálózat mérnökei 2006 novemberében figyeltek fel, mikor az egyik kiszolgáló a sok ezer közül egyszercsak összeomlott. A szoványos hibaelhárítási feladatok elvégzése során a szakembereknek feltűnt, hogy a problémát a gépre telepített L0phtCrack jelszótörő program okozta, melyet valaki egy már távozott munkatárs VPN hozzáférésén keresztül juttatott a kiszolgálóra. A kapcsolatot egy Minszk-beli gépről indították.
A Wall-Mart emberei természetesen a hivatalos szervekkel együttműködve azonnal nyomozásba kezdtek, és letiltották a komprommitált hozzáférést. A támadó azonban feltehetően észrevette, hogy felhívta magára a figyelmet, és rögtön bejelentkezett egy másik hozzáféréssel, majd egy harmadikkal is.
Mivel cég szerverei csak a sikertelen belépési próbálkozásokat naplózták, így a nyomozóknak nem volt könnyű dolguk a támadássorozat visszakövetésekor. Annyi azonban bizonyos, hogy az illetéktelen behatolások már legalább 2005 júniusa óta tartottak, és legalább 800 gépet érintettek, bár ezek közül valószínűleg nem mindegyikre sikerült ténylegesen bejutni.
További aggodalomra adhatott okot, hogy a támadók tevékenységét elemezve úgy tűnt, hogy a célpontok kifejezetten a Wall-Mart helybenfizetési rendszerét fejlesztő programozók voltak. A támadás tehát minden bizonnyal nem vaktában, hanem pontos terv szerint zajlott. A belső hálózatból kikerültek többek között a hitelkártyás tranzakciókat bonyolító programok és forráskódjaik egy része, egy sor, a fizetési tranzakciókat leíró fejlesztői dokumentáció egy része, hálózatiforgalom- és egyéb naplók, valamint egy szimulátor.
A cég szerint nincs bizonyíték arra, hogy bármilyen ügyféladat illetéktelen kezekbe került volna. Figyelemreméltó ugyanakkor, hogy ugyan a Visa a PCI szabályozás alapján 2004-től kezdve minden Wall-Mart kaliberű cégnek előírja ezen adatok titkosított tárolását, egy 2005 év végén kezdődött biztonsági elemzés jelentése ugyanakkor jelentős mennyiségű titkosítatlan ügyféladat jelenlétére hívja fel a figyelmet a vállalat belő hálózatában, és kiemeli, hogy egy észrevétlen behatolás során a személyiséglopáshoz szükséges ügyféladatok "gyakorlatilag kimeríthetetlen tárháza" nyílhat meg a támadók előtt.
A Wall-Mart azóta teljesítette PCI követelményeit, és a felügyeleti szervek - ügyféladat-szovárgásra utaló bizonyíték hiányában - sem találták szükségesnek az incidens nyilvánosságrahozatalát.
Érdekes lehet azonban összevetni az esetet a szintén Wall-Mart érdekeltségbe tartozó Sam's Clubot érintó adaszivárgási botránnyal, vagy az egyéb cégeket - pl. az ezek közül legnagyobb port kavart TJX-et - érintő, szintén a helybenfizetési rendszereket célzó támadásokkal. Ezekkel kapcsolatban azonban inkább visszaadnám a tollat a Wired szerzőinek :)
r@ek (törölt) 2009.10.13. 23:55:58