4案例一 黑客盗走4500万顾客资料.doc

8.8.1 黑客盗走4500万顾客资料 全球折扣零售业巨头TJX公司总部设在美国波士顿，在北美地区和许多欧洲国家开有连锁分店，仅美国就有2500多家分店。 2007年1月，TJX公司宣布电脑黑客侵入公司负责信用卡和借记卡交易的电脑系统，部分美国、英国和爱尔兰客户的资料被盗，其中包括2003年9个月里的交易信息。美国证券交易委员会28日公布了TJX公司向证交会递交的文件。文件承认，由于公司电脑系统存在安全漏洞，从2005年开始，黑客就已经瞄准TJX公司的电脑数据库，并不断“登门造访”，导致至少4570万顾客的信用卡和借记卡信息被泄露。同时，有超过45万名退货的顾客，包括驾驶证号码在内的个人资料被盗取。黑客获取这些信息后可能伪造信用卡大肆消费挥霍。 TJX公司发言人谢里·朗告诉首先报道此事的《波士顿环球报》，公司经过调查后发现，黑客从2005年7月起就开始入侵公司的数据库，窃取客户的个人资料。朗说，由于发现太晚，加上部分资料已经在电脑系统常规运行中被删除，所以无法判断泄密事件造成的损失究竟有多严重。公司也不知道入侵电脑系统的黑客是同一人还是多人所为以及入侵的方式和次数。 TJX公司由此不仅需要接受美国联邦贸易委员会的调查，还面临来自个人和银行的外泄私人资料和延误举报等一系列诉讼。公司管理人员认为这起案件是经过“长期踩点和精心策划的犯罪”，甚至不排除有“内贼”的参与。因为按照公司规定，每过一段时间就会删除数据库中顾客以前的交易记录，当黑客在2005年入侵TJX公司的电脑系统时，失窃的顾客资料原本应该已被删除。 美国警方后来在佛罗里达逮捕了6名嫌犯，并且对他们提出了诈骗罪指控。这些嫌犯利用TJX公司中失窃的资料伪造礼品卡，在沃尔马旗下的“山姆会员店”购买了价值约100万美元的电器和珠宝。佛罗里达警方在调查中发现，这6名嫌犯都不是黑客元凶。他们从其他人那里买来了卡号和密码，伪造礼品卡进行消费欺诈，但是真正的黑客仍然逍遥法外。 案例点评：美国的支付卡行业数据安全标准有12项基本要求，它提供了保证卡安全操作的一个简单的路线图。调查发现TJX在执行这些要求方面本身就存在一些问题。首先TJX在交易记录和客户信息完成商业目的之后不安全地存储了这些数据，违反了支付卡行业数据安全标准的第三项要求。这项要求规定保护存储的卡持有者的数据。此外，信用卡磁条上包含的持卡者姓名、主要账户号码和服务代码等Track 2数据根本就不应该存储。而有证据证明TJX以前曾可能存储了这种数据。而且，加密控制对于客户数据来说也许是不充分的，存储或者发送给外部都没有充分的加密控制。同时，该公司认为入侵者可能已经接触到了该公司的加密密钥。这个问题说明缺乏内部控制。还有一个PCI数据安全标准第11.3和11.4款要求定期进行入侵测试和使用入侵检测系统。第11.5款要求使用文件完整性监视软件。虽然遵守法规并不一定就等于安全，但是，在TJX数据泄漏事件中，遵守法规和安全措施都不充分。这是一个典型的安全教训实例。