家得寶在數月的安全警告後遭到黑客攻擊 - 彭博社

Ben Elgin, Michael Riley, Dune Lawrence

2014-09-19

對於一家擁有2266家門店和790億美元年收入的零售商來説，購買軟件以防止黑客攻擊是個好主意。使用該軟件則是更好的選擇。在網絡犯罪分子滲透美國和加拿大的家得寶門店的支付系統之前的一年，該零售商根據內部公司電子郵件和報告遭受了至少兩次較小的黑客攻擊。之後，家得寶的安全承包商敦促公司通過激活其安全軟件的一個關鍵未使用功能來加強其網絡防禦，內部文件稱該功能將為客户刷卡的零售終端增加一層保護。

家得寶在9月8日確認發生了數據泄露，幾乎是在與其客户相關的信用卡數據在黑市網站 Rescator.cc 上出售一週後。

此次黑客攻擊使多達5600萬張卡面臨風險——超過去年在塔吉特遭遇的數據泄露影響的4000萬張卡，家得寶今天表示。

這家家居改善連鎖店預計今年將支付約6200萬美元來恢復此次入侵的損失，包括呼叫中心人員和法律費用。公司表示，保險將覆蓋其中2700萬美元的費用。

內部的家得寶文件顯示，這家總部位於亞特蘭大的零售商選擇保持額外安全措施未激活，儘管該措施專門設計用於檢測攻擊系統端點的惡意軟件，例如在塔吉特、邁克爾斯、尼曼·馬庫斯等地受到攻擊的收銀機。

儘管關於家得寶泄露事件的細節很少浮出水面——並且尚不清楚停用的保護措施是否能夠阻止它——但一位熟悉調查的人士表示，攻擊確實影響了商店的收銀機。

家得寶今天在一份聲明中表示，黑客使用定製的軟件來規避檢測，依賴於在之前的攻擊中未曾使用的工具。根據聲明，這種惡意軟件“被認為在2014年4月至9月之間存在”，現在已經從公司的系統中移除。

家得寶表示，其系統泄露可能早在4月就已開始。三位熟悉公司網絡安全的人士表示，至少在4月之前，零售商尚未進行建議的改進，他們沒有被授權公開討論此事。

家得寶發言人斯蒂芬·霍爾姆斯表示：“當我們的合作伙伴提出建議時，這些建議會根據手頭最佳解決方案進行處理、排序和執行，最終以客户的最佳利益為重。”他拒絕進一步評論。

尚不清楚家得寶為何抵制在其軟件套件中激活入侵防禦功能，該軟件是賽門鐵克的一款名為端點保護的產品。內部文件表明，該程序有時會產生誤報。兩位曾在家得寶工作的信息安全經理表示，他們的主管告訴他們要在提高安全性方面以降低成本和系統停機時間為代價。他們和另外三名因擔心報復而要求匿名的前員工表示，信息安全部門在過去三年中一直在與員工流動和舊軟件作鬥爭。

安全顧問在2013年8月至2014年2月期間多次敦促家得寶開啓一個終端保護功能，內部文件顯示。根據2013年10月1日由顧問FishNet Security為家得寶準備的報告，該零售商通過關閉賽門鐵克的網絡威脅保護（NTP）防火牆而使其計算機處於脆弱狀態，轉而使用與Windows捆綁的防火牆。“強烈建議並推薦部署NTP防火牆組件，並停止使用Windows防火牆，”報告中指出。報告稱，為了使入侵防禦正常工作，所有家得寶計算機，包括收銀支付終端，都需要NTP。相反，該公司在其收銀機上關閉了保護，並繼續在網絡層面掃描可疑活動，內部文件顯示。FishNet拒絕發表評論。

儘管尚不清楚收銀層面的入侵檢測是否能夠防止此次泄露，但專家表示，這可能顯著提高檢測惡意軟件的機會。“簡單的策略效果顯著，比如跟蹤是否有新的程序在運行，”數據分析公司Nuix的惡意軟件研究員Josh Grunzweig説。“我認為這可以捕捉到95%的這類問題。”

家得寶之前並未對其收銀機和店內計算機上的客户卡數據進行加密，三位仍在關注該運營的公司前信息安全經理表示。今天，該公司宣佈，截至9月13日，已完成“一個重大安全項目”，將為其美國商店提供增強的加密。該加密項目將在2015年初前在加拿大商店完成，該公司表示。

去年的兩個小事件表明，零售商的收銀機可能存在漏洞。根據一封內部電子郵件，2013年7月25日，德克薩斯州登頓的一家家得寶發生了一起數據竊取病毒事件，傳播到至少八台收銀機。12月，馬里蘭州哥倫比亞的一家商店被發現感染了“信息竊取者”，這是一種以竊取信用卡數據而聞名的惡意軟件。在這兩起事件中，尚不清楚客户的信用卡是否受到影響。

在2月份，家得寶要求FishNet調查其對Adobe Flash播放器中一個先前未知漏洞的暴露情況。在2月13日的報告中，FishNet再次敦促零售商部署NTP和入侵防禦，以加強其防禦。根據三位熟悉家得寶安全情況的人士的説法，截至4月，這一措施尚未實施。

前信息安全經理表示，包括信息安全主管傑夫·米切爾在內的高管們拒絕了加強網絡防禦的努力。兩位在2011年和2012年離開公司的經理都表示，米切爾告訴他們要滿足於“C級安全”，因為更雄心勃勃的措施將會很昂貴，並可能干擾關鍵系統。這些優先事項讓信息安全部門的員工感到沮喪，導致在過去三年中，團隊中不到50人的員工中出現了數十人離職，前經理們表示。米切爾沒有回應評論請求。

前經理們表示，家得寶在其商店中還使用過時的 antivirus 軟件。到4月，它仍在使用2007年首次發佈的賽門鐵克的端點保護11。賽門鐵克在2011年推出了12版，並在新聞稿中表示“威脅形勢發生了顯著變化”，並且新產品將保護免受“惡意軟件範圍和複雜性爆炸”的影響。賽門鐵克拒絕發表評論。

家得寶計劃遷移到端點保護12，但在被認為開始的泄露事件發生時尚未完成過渡，三位熟悉該公司安全情況的人士表示。家得寶拒絕透露升級是否正在進行中。今年，賽門鐵克開始逐步停止對舊版本的客户支持。根據軟件公司的網站，所有支持將於1月5日結束。它直言不諱地表示：“這是產品生命週期的結束。”