安全事故启示录:回看美国零售巨头塔吉特(Target)大规模数据泄露事件


发布人:admin分类:网络安全浏览量:43发布时间:2017-12-12

如果在起飞时控制不好发动机的动力,就很可能会造成惨烈的坠机。当我们迈向了互联网+的风口,同样也要面对一个不可回避的问题:安全事故。

丢钱又丢人:塔吉特(Target)安全事件损失惨重

2013年年底,美国零售巨头塔吉特(Target)宣布公司被黑客入侵,7000万的用户个人信息和4000万的信用卡数据被盗,涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。据估计塔吉特的损失当前已达1.48亿美元,并最终可能达到10亿美元。

美国折扣零售巨头塔吉特(Target)的客户数据泄漏事件始终是一个血淋淋的例子: 

1.1亿顾客的数据失窃事件爆发之后,12%的老顾客不再去塔吉特消费,而36%的零售商减少了购货频率。而那些继续在塔吉特购物的人中有79%不再使用信用卡消费了,取而代之的是使用现金。

同时塔吉特还将向个人受害者支付最高10000美元的的损害赔偿,并将增加数据安全保护措施。对公司内部而言,因此安全事件,塔吉特辞退了时任CEO并重新任命一位首席信息安全官。

过PCI认证真的有用吗?

FreeBuf百科:PCI 

支付卡行业数据安全标准( PCI DSS)是一套协作的安全要求,以保护信用卡交易和持卡人数据的所有品牌。PCI遵守是强制性的任何业务,存储,处理或者传输的数据。PCI安全标准委员会是一个开放的全球论坛的不断发展、增强、储存、传播和执行安全标准的帐户数据的保护。
‍
任何参与到支付卡交易中的组织都必须遵守PCI DSS。

此次塔吉特入侵的原因有两个:一是塔吉特(或者是他们的供应商)缺乏IT安全管理,二是他们的员工没有参加过有效的安全意识培训——因此塔吉特的案例中,才会出现供应商的一个员工点击钓鱼链接从而导致惨剧的发生。

时隔两年,现在我们再一起回顾下当年的那一幕:

“2013年11月,尽管塔吉特公司遵守了PCI标准,但我们的数据还是不幸被泄露了。”

然而,简单地遵守并不能保证你的网络信息安全。遵守规则应当是你的建立自己安全网络的底线。

做一个类比——你通过了PCI的检测、评估和审计,所以你是安全的。同样的你拥有驾照,那你就能保证不会发生车祸吗?

在这两种情况中,如果你不能很好的接受对应的培训,你的安全都是无法得到保障的!

没错——尽管保障顾客支付卡信息的所有技术控制都已基本到位,你还是非常需要对员工进行PCI数据安全标准的培训。

当务之急:培训员工提升安全意识

教育是获得提升的一个重要步骤,不管哪位业内人士基本都能进行网络安全意识的培训。你应当立刻制定出一个有效的培训计划,并以此为武器对抗公司在每一天面临的威胁。

如FreeBuf之前的报道《企业安全策略越大越好?Facebook CEO扎克伯格给了几点建议》,Facebook、IBM等公司经常进行在公司内部组织“钓鱼”——意在培养员工更真切的了解钓鱼机制和安全意识。与此同时,FreeBuf还认为垃圾邮件、恶意邮件及社会工程学等一系列未来都应能够运用于日常的安全培训工作中。

*参考来源:THN,有删节,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21942254(PV) 页面执行时间:62.028(MS)
  • xml
  • 网站地图