史上最重:“藏匿的小丑”售卖500万张美商店顾客银行信息,传统零售商已不敌网络罪犯?
综合央广网、俄新社、海外网消息,美国一家从事计算机安全领域的Gemini Advisory公司(双子座公司)日前发布消息称,一个网名“Joker Stash”(藏匿的小丑)的黑客团伙已窃取了大约500万张美国商店顾客的信用卡和借记卡信息,并将12.5万张信用卡信息对外出售。
通过与数家金融机构的合作,Gemini Advisory公司有很大把握确定,自2017年5月至今,“Joker Stash”分从Saks Fifth Avenue(萨克斯第五大道精品百货店)和Lord & Taylor(罗德与泰勒)两家商店的顾客那里窃取了信用卡和借记卡的信息。而2日据彭博社消息,北美零售巨头哈德森湾公司(Hudson’s Bay)证实,公司旗下包括世界顶级百货公司Saks Fifth Avenue、Lord&Taylor在内的几家商场共有超过500万张信用卡和借记卡信息被黑客盗取。哈德森湾公司表示,正在与执法部门合作进行调查,“一旦公司对事实有了更明确的了解, 会迅速通知客户, 并将提供那些受影响的人免费身份保护服务, 包括信用和网络监控。”哈德森湾公司还补充说,这些卡是用于商店内购买的卡,没有迹象表明网购所用的卡受到影响。
据央广网报道,出问题的公司最初对信息泄露并不知情,是一家安保公司在暗网上发现有黑客售卖信用卡信息,才发现这几间百货公司网络被侵入。去年到现在,曾在这几家公司实体店购物的顾客都有可能受到影响。不过目前失窃资料最多的是这几家百货公司在纽约和新泽西的几家分店。由于这几家连锁公司都属于精品百货,所以顾客平均消费水平比较高,因而事件带来的潜在损失也可能比较大。
曝料的“双子座”公司张贴了博客文章详细说明漏洞范围,但称目前还不清楚黑客是如何将病毒植入到收银系统内的,很有可能是通过伪装成员工邮件的形式进行。但不管是通过什么样方式,“双子座”公司表示,“这次黑客攻击都是有史以来最严重,对零售公司最具破坏性的一次”,大多数受害顾客居住在纽约州和新泽西州,这一违规行为可能影响到全国130多家“萨克斯”和“罗德与泰勒”门店。
而据俄新社报道,该黑客团伙此前还曾窃取了诸如Whole Foods、Chipotle、Omni Hotels & Resorts等连锁商店,以及美国总统特朗普创办的Trump Hotels连锁酒店的顾客信息。
据中国之声《新闻纵横》报道,在移动支付相对不发达的美国,人们在精品百货店、大型超市里进行消费时,往往选择银行卡作为首选的支付方式。而这个事件让一些美国消费者被卷入一场由此引发的信息安全危机。有网络专家提醒这些客户应该采取措施避免造成损失,甚至干脆将影响的信用卡彻底取消。而过去几年,美国消费者信用卡大部分进行过更新换代。安全系数较高的芯片卡正在取代旧时的磁条卡,但道高一尺、魔高一丈,大规模信用卡被盗案件仍然不断,去年一家评价用户信用信息的公司被黑客入侵后,有近1亿5000万用户信息失窃。
为什么黑客会选择商店顾客的信用卡和借记卡下手?DCCI互联网数据中心专家胡延平在接受“中国之声”记者采访时表示,相比专业的金融机构,零售业对于顾客信息的保护,在安全措施和安全力度上的确有欠缺。黑客窃取数据以后在黑市贩卖,从中获利,用户的数据信息都有足够的价值,一旦被卖出,基本上就失控了。对于商家来说,一是尽可能的加大投入力度,二是在安全措施方面和拥有比较强的技术手段的云平台进行合作,协助自身来解决安全的问题。对于个人客户来说,首先尽可能避免在各种渠道留下自己的信用卡信息,其次是尽可能减少在一些信用卡专属消费渠道以外的渠道消费。在美国偏远地方的小商店、小超市和小加油站等刷卡时,出问题的概率会相对高一些。在事发中相关的顾客,只有及时停止使用现有信用卡,尽快更换新卡,才能从根本上解决问题。
这起严重的安全事故表明,传统大型零售机构在网络罪犯面前仍然十分脆弱。早在2007年,全球折扣零售业巨头TJX公司就宣布被罪犯盗取了数据,9000万张银行卡数据和个人信息被泄露。此后发生的安全大漏洞还有总部位于亚特兰大,代表商家和银行处理卡交易的全球支付公司事件,当时窃贼从15万银行卡账户中窃取了数据信息。
500万张银行卡信息被盗事件再次敲响了警钟:移动支付在提供便捷服务的同时,其账户信息、刷卡记录安全该如何保障?谁来捍卫普通用户的信息安全?谁又来为这些大型机构的损失买单?有业界人士提及,生物识别技术或许是一个解决办法:可以从授权管理和个人账户两方面增强安全防护,需要验证管理员的生物信息才可登陆支付系统,同样,想要登录个人账户也必须验证个人的生物信息。此外,在技术不断升级换代的同时,法律与自律也是在解决有关问题的过程中不可或缺的部分。