聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
流行服装零售商 Forever 21 就2017年11月份遭受的数据泄露事件证实称,2017年期间,黑客从位于美国的门店中窃取了消费者的信用卡详情。
尽管并未具体说明受数据泄露事件影响的消费者总数,但该公司确实证实称,在2017年4月3日至2017年11月18日期间,美国门店中的一些 POS 系统上被安装了恶意软件。
从该公司目前的调查结果来看,这款恶意软件的目的是查找并可能窃取敏感的消费者信用卡数据,包括信用卡号、有效日期、验证码甚至持卡人姓名。
该公司自2015年起就一直在使用加密技术来保护支付处理系统,但在调查过程中,该公司发现一些门店中的某些 POS 终端关闭了加密技术,导致黑客安装了恶意软件。
然而,Forever 21公司表示,并非所有受影响门店中的 POS 终端都遭受恶意软件感染,而且在数据泄露期间(大概8个月),并非所有的门店均受影响。事实上,在某些案例中,在4月3日之前存储在某些系统日志中的支付卡数据也遭泄露。
Forever 21 公司解释称,“每个Forever 21门店都有多个 POS 设备,而且在多数情况下只涉及一个或几个 POS 设备。另外,Forever 21 门店设有一台机器专门记录完整的支付卡交易授权情况。当加密被关闭后,支付卡数据会存储在这个日志中。在这次事件涉及的一些门店中,恶意软件被安装在能够从日志中找到支付卡数据的日志设备中,因此如果 POS 设备上的加密机制是在4月3日之前关闭的而且数据还存储在这些门店中的某个日志文件中,那么恶意软件可能已经找到了这些数据。”
Forever 21向在线消费者保证称,网站 (forever21.com) 上使用的支付卡并未受该事件影响。
由于其它国家的支付处理系统运作方式不同,因此它们可能并未受该事件影响,不过Forever 21 表示正在调查非美国门店是否遭受影响。
Forever 21 建议曾在门店停留的消费者保持警惕,密切留意信用卡交易详情,如发现可疑活动则应立即通知发卡行。该公司承诺将跟“安全公司一起加强”自己的安全措施。
这次数据泄露事件是继 Disqus 遭受长达5年之久的数据泄露事件(导致1750多万用户受影响)以及雅虎披露2013年数据泄露事件导致所有30亿用户受影响之后另外一起令人尴尬的事件。
最近发生的数据泄露事件包括: Equifax 1.455亿消费者遭暴露、美国证券和交易委员会披露黑客利用数据牟利、德勤律师会计事务所公布遭受网络攻击且导致客户的私人邮箱和文档遭窃取。
关联阅读
美国第五大专营零售商Forever 21正在调查支付卡安全事件
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://thehackernews.com/2018/01/credit-card-data-breach.html