Newport Beach, Kaliforniya'da bir Neiman Marcus mağazası, Aralık. 2013. Kredi: Nandaro / Creative Commons
(İmaj kredisi: Newport Beach, Kaliforniya'da bir Neiman Marcus mağazası, Aralık. 2013. Kredi: Nandaro / Creative Commons)

GÜNCEL Ocak. 31 FBI'dan ek bilgilerle.

Perakendeci Neiman Marcus, şirketin ABD'deki perakende satış noktalarında 16 Temmuz ile Ekim arasında kullanılan 1,1 milyon kredi ve banka kartından alınan finansal bilgilerin olduğunu itiraf etti. 30 Ekim 2013, suçlular tarafından çalınmış olabilir.

Neiman Marcus saldırısının Hedef veri ihlali ile ilgili olup olmadığı veya hırsızlıktan kimin sorumlu olduğu gibi diğer sorular henüz yanıtlanmadı.

DAHA: Hedef Veri İhlali SSS: Şimdi Ne Yapmalı

Şimdiye kadar bildiklerimiz ve etkilendiğinizi düşünüyorsanız yapmanız gerekenler.

Veri ihlali nedir?

Birçok şirket, kuruluş ve web sitesi kullanıcıları, üyeleri ve müşterileri hakkında hassas veriler depolar. Veriler, basit kullanıcı adı / şifre kombinasyonlarından kredi kartı veya Sosyal Güvenlik numaralarına kadar değişebilir.

Bir veri ihlali hassas veriler yanlışlıkla veya kasıtlı olarak korunan alanından dışarı sızdığında oluşur. Son Target ve Neiman Marcus veri ihlalleri vakalarında, saldırganlar verilerin etrafındaki korumayı tehlikeye attı.

Neiman Marcus'ta ne oldu?

Neiman Marcus Başkanı ve CEO'su Karen Katz, "Kötü amaçlı yazılımların (kötü amaçlı yazılımların) sistemimize gizlice yüklendiğini biliyoruz" dedi. müşterilere mektup şirketin web sitesinde Jan. 22. "Kötü amaçlı yazılımın aktif olarak ödeme kartı verilerini toplamaya veya 'kazımaya' çalıştığı görülüyor."

Katz, kötü amaçlı yazılımı "gelişmiş" ve "kendi kendini gizleyen" olarak nitelendiriyor. Şirketten Sen'e bir mektup. D.-Conn. Richard Blumenthal, "kazıma kötü amaçlı yazılımın karmaşık olduğunu ve çıktısının şifrelendiğini" ve Temmuz 2013'te Neiman Marcus'un sistemine tanıtıldığını söylüyor.

Bunun ötesinde Neiman Marcus, bilgisayar sistemlerine ne tür kötü amaçlı yazılımların bulaştığını, nasıl girdiğini ve ne tür cihazları etkilediğini tam olarak söylemedi. Kaynaklar, The New York Times'a, daha sonra Target'ı vuran kötü amaçlı yazılıma benzer olduğunu söyledi.

Target'ın durumunda, kötü amaçlı yazılım bir RAM kazıyıcı adı verilen özel bir Truva atı türü, Target'ın ABD mağazalarındaki satış noktası (POS) cihazlarını etkileyen. Bir kredi kartı veya banka kartı bir POS cihazında kaydırıldığında, RAM kazıma kötü amaçlı yazılım, veriler cihazın belleğinden veya RAM'den geçerken kartın manyetik şeridinden verileri yakalar.

Neiman Marcus, sisteminin hangi kısmının enfekte olduğunu veya POS kötü amaçlı yazılımına bulaşıp bulaşmadığını söylemedi.

Katz, Neiman Marcus'un araştırmasına göre, yaklaşık 1,1 milyon kredi ve banka kartının 16 Temmuz ile Ekim arasında kötü amaçlı yazılıma maruz kalmış olabileceğini söyledi. 30, 2013.

Katz ayrıca Visa, MasterCard ve Discover'ın, bu süre içinde Neiman Marcus'ta kullanılan 2.400 kredi kartının daha sonra dolandırıcılık amacıyla kullanıldığını tespit ettiğini söyledi. American Express kartlarında veya kendi bünyesindeki Neiman Marcus ve Bergdorf Goodman kredi kartlarında herhangi bir sahtekarlık faaliyetinin rapor edilmediğini de sözlerine ekledi.

Ne tür bilgiler ele geçirildi?

Neiman Marcus, ele geçirilen kartlardan hangi bilgilerin alındığını tam olarak belirtmedi, ancak çoğu durumda kullanılan kartlarla ilgili Bir perakende mağazasında, tehlikeye atılan veriler, bir kredi veya banka kartının arkasındaki manyetik şerit üzerinde depolanan "izleme verilerinden" oluşur.

Takip verileri, kartın üzerinde yazılı olan üç veya dört basamaklı kart doğrulama kodunu içermediğinden, çalınan bilgiler genellikle çevrimiçi alışveriş yapmak için kullanılamaz. Ancak suçlular, orijinal kredi veya banka kartının bir "klonunu" oluşturmak için izleme verilerini boş bir karta kopyalayabilir ve ardından hileli satın alımlar yapmak için klonu kullanabilir.

Neiman Marcus'a göre mağazanın web sitesinden alışveriş yapan kişiler veri ihlalinden etkilenmedi. Şirket ayrıca, Neiman Marcus'un PIN pedleri kullanmadığı için banka kartı PIN'lerinin tehlikeye atılmadığını söylüyor. (Hedefte PIN verileri çalındı, ancak hırsızların kırmakta zorlanabileceği güçlü bir şekilde şifrelenmiş biçimde.)

Müşterilerin adresler, telefon numaraları ve e-posta adresleri gibi kişisel bilgilerinin de tehlikeye atılmış olması mümkündür, ancak bu bilgiler kredi kartlarında saklanmaz.

Neiman Marcus'un ücretsiz kimlik hırsızlığı koruması teklifi (kredi uyarılarının aksine) kişisel verilerin etkilendiğini gösterebilir, ancak bu yalnızca bir halkla ilişkiler hareketi de olabilir.

Katz mektubunda, doğum tarihlerinin ve daha da önemlisi Sosyal Güvenlik numaralarının tehlikeye atılmadığını söyledi.

Hedef ihlalinde, 70 milyon müşteri rekoru bireysel isimler, posta adresleri, telefon numaraları ve e-posta adreslerinden oluşan, ancak veriler muhtemelen yine çalınan 40 milyon kredi ve banka kartı hesabından ayrı tutuluyordu.

Mağdurun adına yeni kredi limitleri açmak için kullanılabilecek çalınan kişisel bilgiler daha fazla olabilir çalınan kredi ve banka kartı numaralarından maddi olarak zarar verici, hırsızlıktan sonra hızla dondurulur keşfetti.

DAHA: Veri İhlalinden Nasıl Kurtulunur?

Neiman Marcus ve Target veri ihlallerinin ilişkili olup olmadığı henüz belli değil. Hedef veri ihlali Şükran Günü ile Noel 2013 arasında meydana geldi ve Aralık 2017'de ortaya çıktı. 18.

Neiman Marcus ihlali Temmuz 2013 gibi erken bir tarihte başladı ve Ekim 2013'e kadar devam etti, ancak Neiman Marcus ihlali haberleri Ocak ayında çıktı. 10. Her iki ihlal de ilk olarak bağımsız güvenlik blog yazarı Brian Krebs tarafından ortaya çıktı.

Ocak ayının sonlarına doğru, anonim kaynaklar Reuters'e, Target ve Neiman Marcus saldırılarının aynı grup tarafından gerçekleştirilmiş olabileceğini ve Henüz adı belirtilmemiş diğer üç ABD perakende mağazası dahil olmuş olabilir. (Cuma günü, Ocak. 24 Ekim'de Krebs, ülke çapında sanat tedarik zinciri Michaels'ın da bir veri ihlali yaşadığını ortaya çıkardı - üç yılda ikinci.)

Hedef ihlalinde kullanılan kötü amaçlı yazılım Mart 2013'ten beri karaborsa web sitelerinde satılan bir RAM kazıma kötü amaçlı yazılım parçası olan BlackPOS'un değiştirilmiş bir sürümü olduğu görülüyor. Bazı kaynaklar, Target'ın kendi şirket içi yazılımını çalıştıran Target'ın POS cihazları için özel olarak tasarlandığını söyledi.

Neiman Marcus saldırısında kullanılan kötü amaçlı yazılımın yakından ilişkili olması mümkündür, ancak bu, Target'ı vuran aynı saldırganlar tarafından kullanıldığı anlamına gelmez. Kötü amaçlı yazılım yazarları genellikle gerçek siber saldırılarda yer almazlar, bunun yerine yarattıkları kopyaları birden fazla suç grubuna satarlar.

(Güncelleme: İçinde perakendecilere özel bildirim Jan. FBI, satış noktası kötü amaçlı yazılımları hakkında 17 Ocak'ta siber suç çevrimiçi forumlarında yayınlanan bir grup çalıntı kart arasında "aşırı miktarda birinci, yüksek limitli kredi hesabı" olduğunu söyledi. 4. FBI kartların kaynağını tanımlamadı, ancak zamanlama, Neiman Marcus ihlali ile bir bağlantı olduğunu ima ediyor.)

Ben etkilenmiş miyim?

İhlalden etkilendiyseniz ve Neiman Marcus kayıtlarında e-posta adresiniz veya telefon numaranız varsa, şirketin sizinle önceden iletişime geçmiş olması gerekir. Kredi kartı düzenleyiciniz sizinle ayrıca iletişim kurmuş olabilir.

Kimse sizinle iletişime geçmediyse, Temmuz ve Ekim 2013 arasında bir Neiman Marcus mağazasında alışveriş yapıp yapmadığınızı görmek için mali kayıtlarınızı kontrol edin.

Etkilenmişsem ne yapmalıyım?

Neiman Marcus veri ihlalinden etkilendiğinizi düşünüyorsanız, bankanızla veya kartı veren kuruluşla iletişime geçin. Suçluların sizin adınıza yeni kredi limitleri açmak için ihlalden toplanan kişisel bilgileri kullanmadığından emin olmak için bir kredi izleme servisiyle de iletişime geçmelisiniz.

Neiman Marcus, güvenliği ihlal edilen herkese bir yıllık ücretsiz kredi izleme ve kimlik hırsızlığı koruması sunuyor. Yapabilirsin kaydolmak için bu web sitesini ziyaret edin.

Bunun gelecekte olmasını engelleyebilir miyim?

Kredi kartlarını içeren birçok veri ihlalinde olduğu gibi, tüketiciler maruz kalmayı önlemek için yapabilirdi, nakit kullanmanın yetersizliği.

Yapabileceğiniz en iyi şey, kişisel bilgilerinizin ne kadarını şirketlerle paylaştığınızı en aza indirmeye çalışmaktır. Bu nedenle, birçok güvenlik uzmanı, müşteri ödülleri programlarına ve adınızı ve e-posta adresinizi isteyen diğer programlara kaydolmamanızı önerir.

Eposta [email protected] veya onu takip et @Hayalhanemersin ve Google+. Bizi takip et @Filmdenkare, üzerinde Facebook ve üzerinde Google+.

  • Super Bowl 2014'ün En İyi 10 TV Teklifi
  • Güvenli, Çevrimiçi veya Çevrimdışı Alışveriş Yapmak İçin Bilmeniz Gerekenler
  • 11 En İyi Kimlik Hırsızlığı Koruma Hizmetleri