Hack Rapporto Rachael O'Halloran: Grandi magazzini di destinazione


by Rachael O'Halloran, aggiornato 3 luglio 2014

Sentitevi liberi di condividere questo articolo, ma per favore non copiare.

Utilizzare i pulsanti sul lato destro dello schermo, se si desidera che i tuoi amici sui social network a leggere questo articolo.

Se si desidera-mail i vostri amici un link, utilizzare questo:

Aggiornamento: 2014/07/08

Questo articolo è stato aggiornato con gli eventi che hanno avuto luogo l'8 luglio 2014. L'aggiornamento appare alla fine di questo centro.




Failure

Dati

Grandi magazzini di destinazione

Data di violazione:

Dal 27 novembre 2013 e 15 dicembre 2013

Data di Report:

18 Dicembre 2013

Numero delle persone interessate:

40 milioni di carte di debito e carte di credito. Questo numero è stato rivisto nel mese di gennaio 2014 per oltre 110 milioni di persone

Potenza Hack

Il 19 gennaio 2014, un mese dopo l'hack, Target Stores ha annunciato di aver finalmente scoperto dove il reato che le informazioni personali e finanziarie su filtrata verificato 110 milioni di clienti. ha detto che è il malware che ha infettato i terminali POS con carta di credito presso gli sportelli di casi, a seconda dei casi.

Erano sorpresi che nessuno di loro più di 40 strumenti antivirus catturato malware. C'è una buona ragione per questo ed è quello che ho detto a tutti per molto tempo ".

Quasi tutti i programmi antivirus la scansione per i virus, non il malware.

Anti-malware programmi cercano il malware, ma di tanto in tanto c'è un virus. Tuttavia, non sarà in grado di rimuoverlo. Si può notare solo la loro presenza, ma almeno questo è utile.

Di Più anti-virus Programmi sembra virus.

Di solito, i programmi antivirus non possono dire nulla circa la presenza di malware; non sono impostati in questo modo.

Tuttavia, con artisti del calibro di malware stanno creando reti per incidere in questi giorni, anche alcuni dei migliori programmi nocivi non può rilevare qualsiasi intrusione.

A volte il codice malware (cattivo) è così vicino al codice che si trova nei programmi di screening di malware commerciale (Good Guy). Questi hacker sono sempre troppo buono.

~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ *

Dichiarazione iniziale di destinazione

Subito dopo è successo, Target ha assicurato ai suoi clienti che avevano protetto tutte le informazioni di pagamento dei clienti con "criptato" e che la "chiave" per sbloccare la crittografia è memorizzato in un sistema separato che non è stata violata.

Ma non era del tutto vero, dal momento che era stato violato. L'algoritmo di cifratura utilizzato dalla Target (Triple DES o 3DES) è molto vulnerabile agli attacchi di forza bruta.

Brute Force è quando gli hacker utilizzano più computer per alta velocità indovinare per penetrare nella rete.

Spero che ora conosco l'algoritmo di crittografia è inutile aver preso il sistema prima che la stagione delle vacanze di Natale - un furto notoriamente giunto il momento.

~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ *

annunci prima destinazione delle violazioni dei dati prima di conoscere la misura di esso

Ecco come può accadere

Il modo in cui funziona è questo:

  • Il malware impiantato afferra i dati dal nastro magnetico della carta sul retro della carta immediatamente come scivola nel terminale POS.
  • I dati rimangono nella memoria di sistema per il commerciante può permettersi.
  • Gli hacker di accedere alla rete, afferrare i dati in modo che possano creare duplicati per essere venduti (di solito è venduto solo numeri, non una vera e propria carta), e nuovi utenti continuano spese folli per acquistare prodotti costosi.
  • Faranno mai pagare una bolletta, come il disegno di legge va a prodotti del titolare. Questo è di solito quando il titolare della carta diventa la prima a conoscenza di un problema, a meno che un commerciante agisca responsabilmente e notificare ogni cliente o in un comunicato stampa a tutti i clienti.

Dopo l'hacker ottiene le informazioni dalla striscia magnetica, tutto si muove molto velocemente da quel punto.

  • Hanno solo una piccola finestra di tempo per prepararsi a vendere i duplicati e utilizzare, perché una volta che il dealer mostra che la violazione, i numeri delle carte sono annullate rendendoli inutili.

Gli hacker devono avere un posto di recinzione (vendita) le lettere, anche prima di reti di pirateria.

  • Per questo ci sono negozi di carte online - siti sotterranei del mercato nero - che sono per la pulizia a vendere schede duplicate.
  • E 'nel migliore interesse degli hacker per sbarazzarsi delle carte il più velocemente possibile, per qualsiasi importo che pensano che li possono vendere, in modo da non farsi prendere in modo che i clienti possono ottenere alcune spese di carta di prima riferito a un servizio point.

Hanno messo le carte in lotti di circa 100, quindi verificare con gli acquisti di campioni.

  • Se la vendita andrà in porto, le carte sono in buone condizioni per l'uso.
  • In generale, lo chiamano il gioco (per esempio: Desert Strike, Ronald Reagan), in modo che possano tenerlo dritto come un commerciante violata da loro, i nomi di separazione, Gold e Platinum, American Express, di debito, di credito, etc .
  • Nominare lotti aiuta anche i clienti a mantenere dritta quanto hanno acquistato le loro carte perché molti comprare all'ingrosso - 50 o più carte alla volta.

Test del lotto di 100 carte, forse due carte non sono buone perché sono già stati segnalati per la società della carta di credito per qualche motivo - sia da parte del titolare della carta di credito o del commerciante. Il resto del gioco è ancora buono per vendere.

  • Quindi l'hacker è in grado di vantarsi che il suo gruppo ha un tasso di 98 per cento di validità, cioè non possono essere utilizzati solo 2 carte di 100 vendite.
  • Questa informazione è importante per gli acquirenti di sapere - quante carte il gioco dovrebbe essere utilizzabile. 98 per cento del tasso di validità è preferibile che un tasso di 75 per cento validità, dove 25 di 100 pannelli non sarebbe utilizzabile.
  • Nessuno sta andando a pagare $ 25 a $ 100 per carta se possono usare solo il 75 per cento di loro.
  • I lotti sono venduti in gruppi di 100, ma a volte, quando il momento di crisi è attiva, perché la violazione è stato catturato, li vendono in grandi lotti di 500 o più per un paio di migliaia di dollari in meno rispetto alle varie schede vendono .

Controllo carte per primo, ed è risultato avere un tasso elevato di validità, e dando una garanzia di rimborso (di solito solo un bene per un altro acquisto), l'hacker costruisce la sua reputazione in modo che sempre più persone lo compra .

  • Una di queste carte di negozi online chiamato Rescator e il loro governo va sotto lo stesso nome.
  • Ne cito un paio di volte in altri centri di violazioni future. Egli è il grande capo del forum crimine russo e inglese "Lampeduza il punto."
  • Lavora negozi più online che vendono rubati scheda dati, tra cui "Rescator punteggiano i" e molti altri siti web.
  • Punto Rescator è responsabile per Target, Sally Beauty Salons, PF Chang e alcuni altri offro il mio cubo.
  • Il sito ha fatto sospettare momento della vendita contro la violazione calendario recinzione.

Ci sono analisti della sicurezza che guardano questi negozi lettere in siti cantina con grandi afflussi di carte pubblicizzati per la vendita. Quasi può immediatamente identificare dove le violazioni avvenute accedere alcune carte e in esecuzione una storia su di loro per vedere quello che il denominatore comune è l'ultimo utilizzo.

Condivido i siti web di alcuni bianchi eroi cappello di sicurezza in modo da poter imparare a proteggere le informazioni personali, e conoscere le violazioni dei dati in modo da poter scrivere a loro di educare i miei lettori.

Se non fosse per questi eroi che guardano i giochi di carte in vendita, credo che i servizi segreti e di altre agenzie statunitensi potrebbero mettere le mani su un terreno di più di quello che già fanno.

~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ *

Esempio di hacker vendita senza prezzi

~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ *

Immagine Il lungo raggio Bigger

Hemu Nigam, fondatore della SSP blu, una società di consulenza di sicurezza e privacy, dice:

"Questo avrà un impatto molti partner di destinazione -. Visa, MasterCard e la miriade di banche e agenzie di credito hanno ora a tenere d'occhio i 110 milioni di clienti ora vulnerabili al furto di identità colpisce più target di clienti colpiti fornitori e mutui. vendite di auto. Colpisce l'intera infrastruttura economica ".

Target Stores Solution

Ci sono voluti quasi due settimane, e penso che sia vicino alla stalla dopo che il cavallo fuggito, ma l'obiettivo è finalmente deciso di offrire rapporti di credito gratuito per un anno a tutti i suoi clienti, in aggiunta a tutti i dieci per cento (10%) di sconto sugli acquisti nei negozi in soli due giorni - il 21 dicembre e 22 dicembre, 2013.

A mio parere, il danno era fatto e che, ovviamente, non ha imparato molto da questa esperienza, perché non pubblicizzare le migliori misure di sicurezza sono state messe in atto per proteggere i dati dei clienti. Vediamo cosa succede quest'anno tra il Ringraziamento e Natale 2014.

Con rapporti di credito gratuito per un anno (a fini di controllo per lo più), che offre uno sconto del 10% sulle vendite è non è un grosso problema, soprattutto quando solo il 10% per i due giorni di vendite poco brillanti appena prima di Natale.

Come potevano mi hanno reso più felice?

Offerta sconto del 25% in un giorno che potrebbe essere inserito in un'altra promozione, che offre almeno il 15% o sconti elevati. Sì, mi piace una buona vendita. Ma possono permettersi.

Il dieci per cento è una goccia nel mare a capire la maggior parte dei negozi hanno segnato dal 100% al 200%.

Offriamo target Credit Report Monitoring

Nel mese di gennaio, Target offre uno anno ProtectMyID, che è un servizio offerto da Experian, una delle tre principali aziende di credito di segnalazione in uso negli Stati Uniti.

I clienti hanno dovuto registrarsi subito, ma aveva fino al 30 aprile 2014 per farlo, poi richiedere un codice di attivazione, e quindi aderire al servizio ProtectMyID il 30 aprile 2014 e Experian a Target a pagare per il monitoraggio .

Ora dicono che hanno notificato tutta la loro e-mail ai clienti che offrono questo servizio. Tuttavia, so che un sacco di persone che non hanno mai sentito parlare a tutti. Sì, io ero uno di quelli che non ha sentito parlare o avrei scritto molto prima.

Questo è stato uno dei segreti meglio custoditi - anche più di una violazione dei dati! - Non perché ha favorito l'obiettivo di eliminare piena pagina di pubblicità per annunciare che un milione di persone colpite.

Per ogni persona che ha firmato, Target ha dovuto pagare la quota annuale Experian. Per coloro che non si registrano per il monitoraggio di rapporto di credito gratuito, Target ha ottenuto via con esso.

Ora, per coloro che non si sono iscritti, c'è un rivestimento d'argento leggermente "twisted .....

Experian è violentata a fine marzo 2014 e ha avuto accesso a più di 200 milioni di numeri di previdenza sociale. In altre parole, hai salvato un sacco di problemi perché alcune informazioni sarebbe stato aggiornato con loro, che gli hacker hanno sfruttato l'hack.

Ho un hub opere Experian Hack che sarà disponibile domani.

~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ *

Attenzione

Sono stati segnalati diversi casi di email fraudolente.

Se avete usato una carta di credito in qualsiasi negozio - non solo bersaglio - è probabile che il vostro indirizzo di posta elettronica è in archivio.

Non - in nessun caso - per rispondere a una e-mail da qualsiasi società quando ha chiesto di andare al tuo sito per informazioni aggiornate.

Non scrivere sulla risposta casella per questi messaggi. Basta rispondere dà loro un sacco di informazioni sulla posizione tramite indirizzo IP, dando loro la possibilità di ottenere le informazioni che cerchi direttamente dal tuo computer quando si hack.

Anche se l'email si presenta come è venuto da Target, PayPal, Ebay, la tua banca, l'IRS, sicurezza sociale, o di qualsiasi altra entità ben noto, se stai chiedendo di aggiornare o fornire informazioni, compreso il nome da nubile di sua madre, la password, il conto di deposito o carta di credito, numero di previdenza sociale, data di nascita, PIN, o qualsiasi informazione di identificazione:

  • Non rispondete mai
  • MAI confermare o smentire
  • MAI andare direttamente al sito dopo aver ricevuto la tua email.

Questo è il modo gli hacker cercano informazioni da utilizzare per il furto di identità, prendere le credenziali e li usa per tutti i tipi di attività criminale informatico.

~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ *

Aggiornato il 8 luglio 2014

Più di 140 casi, di cui 29 corsi per conto di banche e cooperative di credito a fronte Target Corporation sono stati consolidati prima US District giudice Paul Magnuson 14 Mag 2014, secondo http://www.bankinfosecurity.com.

L'8 luglio 2014, obiettivo ha chiesto a un tribunale distrettuale degli Stati Uniti per fermare il processo di scoperta ogni azioni legali per quanto riguarda i dati presentati nel dicembre 2013, per rompere l'obiettivo, possono presentare proposte sicuro che sarà licenziare più di cause legali.

"Le esperienze dei tribunali e le parti in causa, con violazioni simili respingere class action in relazione ai dati di istruzioni che Target ha una sostanziale probabilità di successo nella ricerca di licenziamento di tutti o la maggior parte dei movimenti gli stanziamenti nelle denunce consolidato "avvocati a tale destinazione.

"Dato il peso che la scoperta di questioni potenzialmente controverse richiedono le parti e questa corte, ci sono buone ragioni per continuare il soggiorno di scoperta per alcuni mesi fino a quando la mozione per respingere può essere risolto."

- Corte Citato

Alla fine del business di oggi, non vi era alcuna risposta da parte della corte. Rimanete sintonizzati.

~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ * ~~ *

Perspectives

WMBF News - Dati obiettivo violazione colpito 110M offre il monitoraggio di credito gratuita

STATI UNITI D'AMERICA. Oggi - Gennaio 2014 - Neiman Marcus colpito dagli hacker carta di credito

New York Times articolo - numero cresce Violazione obiettivo


non copia, utilizzare i tasti giusti

(0)
(0)

Commenti - 0

Non ci sono commenti

Aggiungi un commento

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caratteri rimanenti: 3000
captcha