Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Wall-Mart is csendben ki lett fosztva

2009.10.13. 21:56 | buherator | 1 komment

Nem kell csalódnia azoknak, akik esetleg hiányolták volna az elmúlt hónapok adatvesztési illetve adatlopási botrányaiból az USA talán legnagyobb üzletláncának, a Wall-Mart-nak a nevét.

A Wired birtokába került ugyanis egy halom belsős jelentés, melyek igen vészjósló képet festenek a vállalat belső infrastruktúrájának védelméről. Bár a Wall-Mart 2006-ban megfelelt a PCI biztonsági előírásainak, az ezt megelőző években - és ezt most hivatalosan is megerősítették - tetemes mennyiségű bizalmas adat került illetéktelenek kezébe.

Minderre a bolthálózat mérnökei 2006 novemberében figyeltek fel, mikor az egyik kiszolgáló a sok ezer közül egyszercsak összeomlott. A szoványos hibaelhárítási feladatok elvégzése során a szakembereknek feltűnt, hogy a problémát a gépre telepített L0phtCrack jelszótörő program okozta, melyet valaki egy már távozott munkatárs VPN hozzáférésén keresztül juttatott a kiszolgálóra. A kapcsolatot egy Minszk-beli gépről indították.

A Wall-Mart emberei természetesen a hivatalos szervekkel együttműködve azonnal nyomozásba kezdtek, és letiltották a komprommitált hozzáférést. A támadó azonban feltehetően észrevette, hogy felhívta magára a figyelmet, és rögtön bejelentkezett egy másik hozzáféréssel, majd egy harmadikkal is. 

Mivel cég szerverei csak a sikertelen belépési próbálkozásokat naplózták, így a nyomozóknak nem volt könnyű dolguk a támadássorozat visszakövetésekor. Annyi azonban bizonyos, hogy az illetéktelen behatolások már legalább 2005 júniusa óta tartottak, és legalább 800 gépet érintettek, bár ezek közül valószínűleg nem mindegyikre sikerült ténylegesen bejutni.

További aggodalomra adhatott okot, hogy a támadók tevékenységét elemezve úgy tűnt, hogy a célpontok kifejezetten a Wall-Mart helybenfizetési rendszerét fejlesztő programozók voltak. A támadás tehát minden bizonnyal nem vaktában, hanem pontos terv szerint zajlott. A belső hálózatból kikerültek többek között a hitelkártyás tranzakciókat bonyolító programok és forráskódjaik egy része, egy sor, a fizetési tranzakciókat leíró fejlesztői dokumentáció egy része, hálózatiforgalom- és egyéb naplók, valamint egy szimulátor.

A cég szerint nincs bizonyíték arra, hogy bármilyen ügyféladat illetéktelen kezekbe került volna. Figyelemreméltó ugyanakkor, hogy ugyan a Visa a PCI szabályozás alapján 2004-től kezdve minden Wall-Mart kaliberű cégnek előírja ezen adatok titkosított tárolását, egy 2005 év végén kezdődött biztonsági elemzés jelentése ugyanakkor jelentős mennyiségű titkosítatlan ügyféladat jelenlétére hívja fel a figyelmet a vállalat belő hálózatában, és kiemeli, hogy egy észrevétlen behatolás során a személyiséglopáshoz szükséges ügyféladatok "gyakorlatilag kimeríthetetlen tárháza" nyílhat meg a támadók előtt.

A Wall-Mart azóta teljesítette PCI követelményeit, és a felügyeleti szervek - ügyféladat-szovárgásra utaló bizonyíték hiányában - sem találták szükségesnek az incidens nyilvánosságrahozatalát. 

Érdekes lehet azonban összevetni az esetet a szintén Wall-Mart érdekeltségbe tartozó Sam's Clubot érintó adaszivárgási botránnyal, vagy az egyéb cégeket - pl. az ezek közül legnagyobb port kavart TJX-et - érintő, szintén a helybenfizetési rendszereket célzó támadásokkal. Ezekkel kapcsolatban azonban inkább visszaadnám a tollat a Wired szerzőinek :)

Címkék: incidens wall mart

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

r@ek (törölt) 2009.10.13. 23:55:58

Ez a jóság, nem a deface... ;-)
süti beállítások módosítása