美国零售商面临黑客攻击

  美国最大的家居建材零售商Home Depot近日承认并证实,自今年4月起至9月初,该公司的支付系统遭到黑客袭击,在此期间于Home Depot实体店使用信用卡和借记卡购物的美国和加拿大顾客的个人信息和数据将受到影响,信用卡和借记卡存在被不法分子窃取和盗刷的巨大风险。

  这是黑客对美国零售商发起的新一轮的攻击,类似事件还曾发生在美国另一大型零售超市Target身上。去年从感恩节前一天11月27日到12月15日的短短19天时间内,在该店刷过卡顾客的4000万张信用卡或借记卡数据以及7000万条诸如顾客地址和电话号码等的个人信息被盗。去年的感恩、圣诞节购物季期间,高档百货公司Neiman Marcus,中餐连锁店 P.F. Changs 以及专供美容店的美容产品连锁零售商Sally Beauty也相继发生过类似事件,但由于受众面有限而没有引起广泛关注。被媒体曝光的零售商只是冰山的一角,根据美国国土安全局预测大约有1000多家美国零售企业遭到类似的黑客袭击。

  顾客银行卡数据被盗事件给Target造成了1.46亿美元的直接经济损失,以及无法估量的名誉和顾客信任度的损失,该公司的首席执行官也受此牵连被迫辞职。Target也被认为是迄今为止美国零售业发生的最大的银行卡数据盗窃事件。但Home Depot事件的影响力和破坏力很可能会刷新这一纪录。Home Depot事件的时间跨度—4月至9月相对较长,而这个时间窗口与美国的房屋销售和装修旺季完全重合,由于近期美国房地产市场强劲复苏,Home Depot曾在8月向投资者和股东宣布其2014年第二季度(4月至6月)“创纪录的销售业绩”。而Home Depot是世界上最大的零售商之一,在北美就有2200多家实体店,比Target多出400多家。目前Home Depot官方还无法给出受此事件波及的顾客人数和规模等数据。

  据专门负责信用卡欺诈调查的执法人员和银行职员的调查经验反馈,黑客主要来自东欧国家,而被盗的信用卡和借记卡数据不久就会出现在一些非法的所谓的“信用卡资料论坛”(carding websites)上。在美国,信用卡交易不需要密码(借记卡相对安全需要密码才能交易),实体店交易主要认卡主签名,而网上购物主要认卡号、失效日期和卡片背面三位数的安全码以及看卡主的姓名和地址,主要是邮政编码是否和发卡银行的数据库数据吻合。于是“信用卡资料论坛”的不法分子便以平均50美元一张卡的价格出售信用卡卡号,失效日期,安全码,卡主姓名和地址邮编等一整套数据。最早发现Home Depot顾客银行卡数据被盗的网络安全博客早在上周三就披露,在一个名叫Rescator的东欧“信用卡资料论坛”上出现大量疑似Home Depot顾客数据,其中99.4%的被盗信用卡的邮编和Home Depot实体店邮编完全重合。由于Home Depot在北美分布广泛,一般顾客都是到与自己住址邮编相同的实体店就近购物的。

  由于笔者近期刚刚搬了新家,于是也在8月间频繁出入Home Depot,刷卡消费达10余次。上周末、即在Home Depot证实顾客银行卡数据被盗的消息之前,笔者已经收到两家银行发来的email,提示购物记录显示笔者的信用卡数据存在安全隐患,要求笔者关注并仔细检查信用卡消费记录和对账单,看有没有任何可疑的购物活动,一旦发现有可疑和未授权消费立即联系银行信用卡欺诈部门。

  在美国,银行卡交易是主流,现金交易只出现在咖啡馆,小超市、小餐厅等交易数额较小的场合。银行ATM机取钱的面值永远都是20美元,要更大面额的钞票需要专门去柜台索取。一般口袋里有大量百元面额大钞的都是外国人。笔者某同事曾在中西部农业州爱荷华州的超市若无其事地拿出100美元大钞买单,此举吓傻了收银员小哥,小哥表示他从没见过百元大钞,于是喊出了见过市面的大经理才最终完成了交易。美国是世界上最大最活跃的银行卡交易市场,目前市面上流通着有大约12亿张信用卡和借机卡。而就是这个世界上最大最成熟的市场却仍然沿用着比较落伍的、存在巨大潜在风险的信用卡交易技术—磁条刷卡和用户签名加密技术,而欧洲早已大规模推广所谓的“芯片密码”(Chip-and-Pin)技术。“芯片密码”卡片内置有一个可以储存加密信息的微型芯片,其中包括一个四位数字PIN码,当顾客想刷卡消费,首先需要输入PIN码,这样芯片就会验证PIN码是否正确后再完成交易,大大提高持卡人消费的安全性。Target事件发生之后,Visa和万事达这两大信用卡发卡机构就表示将在2015年10月前在美国境内全面用“芯片密码”卡片替换传统的磁条卡片。如今的Home Depot事件也许有望加快这一新旧替换的进程。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:数字化教学时代来临 学生个人隐私成最大隐患