56 milionů ohrožených kreditních karet Home Depotu

Ohrožení údajů 56 milionů kreditních karet ze společnosti Home Depot v USA a v Kanadě poukazuje na stále stejné chyby. Útočníci využili možnosti k nasazení malware přímo do platebních terminálů Home Depotu v USA a Kanadě a procházelo jim to od dubna až do září. Společnost sama prozatím odhaduje, že je tento bezpečnostní incident bude stát 62 milionů dolarů.

Ohrožení 56 milionů kreditních karet z Home Depotu překonává předchozí známý případ se 40 miliony karet u společnosti Target. V obou případech hraje klíčovou roli průnik do interních sítí společnosti a nasazení malware, které po dlouhou dobu odchytávalo komunikaci a informace z platebních terminálů.

„Není výjimkou, že takové případy se dějí i v České republice. Dochází k nim nejen při útocích hackerů, ale citlivá data mohou opustit firmu i jinými způsoby. Například když zaměstnanci firem odcházejí, může se stát se, že z nedbalosti vynesou firemní data,“ komentuje událost Jakub Mahdal, CEO společnosti Safetica, a dodává: „Firmy i běžní uživatelé se sice mohou chránit nejrůznějšími typy antivirových programů a firewallů, v tomto případě ale doporučujeme využívat software na ochranu proti únikům citlivých informací.“

Home Depot oznámila, že malware bylo odstraněno, následně došlo k nasazení rozšířeného šifrování platebních dat přímo na platebních terminálech (kasách). K úplnému nasazení tohoto tolik potřebného prvku ochrany však v některých obchodech dojde až na počátku roku 2015.

Malware nasazené do Home Depotu bylo klasicky psané přímo na míru a na platebních terminálech fungovalo od dubna do září 2014, kdy bylo odhaleno až na základě upozornění od bank a vyšetřovatelů. V zásadě jde o totožný nebo velmi podobný způsob průniku jako u již zmíněného Targetu.

Je určitým způsobem překvapující, že dnes, kdy máme k dispozici dostatek systémů schopných detekce průniků či sledujících přístup a přenosy dat, je možné něco takového, jako v případě napadení Targetu či Home Depotu. „Vynecháme-li zanedbání bezpečnosti v podobě práce s nešifrovanými citlivými daty, nabízí se otázka, proč Home Depot či Target vlastně nepoužívali systémy ochraňující před úniky dat či systémy detekce průniku do sítí a řadu dalších běžně dostupných technologií.“

Útočníci najdou slabiny či možnost jak se dostat do interní sítě společnosti, zjistí potřebné informace, zmapují možnosti a přímo na míru vytvoří software, jenž postupně nasadí na co nejvíce míst, kterými tečou, případně přímo přicházejí data. Pokud jsou tato data nedostatečně zabezpečena, získá přístup k informacím o platbách, číslech karet, včetně PIN a informací o držitelích. Zjištění PIN navíc v těchto případech znamená, že je možné vytvořit kopii karty a tu využít v bankomatu pro přímý výběr peněz.

Takto získané informace jsou shromažďovány v samotných systémech společnosti a průběžně či dávkově odesílány na systémy vlastněné útočníky, to vše bez vědomí o takovém konání. Získané informace jsou poté prodávany na černém trhu a nic netušící zákazníci přicházejí o peníze. Ty jim sice v USA běžně snadno vrátí jejich banka, ale vznikají tím další související problémy a náklady.

Podobným aktivitám přitom mohou zabránit, ať už přímo nebo pomocí zjištění podezřelých aktivit, odpovídající systémy počítačové bezpečnosti. V okamžiku možných průniků jde o IDS (Intrusion Detection Software) pomůcky, které dokážou detekovat snahu vniknout do systému. V pozdějších fázích DLP (Data Loss Protection) systémy, které umí sledovat aktivity v systémech a výrazně přispět k včasnému odhalení podezřelých aktivit. A to ať už jde o činnost hackerů z vnějšku nebo o útok zevnitř, často se objevující i od samotných zaměstnanců.

Je ovšem vidět, že v obou případech, tedy jak u čerstvého Home Depotu, tak u Targetu, došlo i k selhání v otázce architektury vnitřní sítě, kdy bylo možné z vnějšku, tedy z Internetu, proniknout až k samotným platebním terminálům a kasám a z nich získaná data opět dostávat ven. Podstatnou roli zde hraje nejspíše i přítomnost nedostatečně zabezpečených Windows XP systémů, které byly použité jako platební terminály.

„Vlna úniků informací o platebních kartách a zákaznících v USA ukazuje, že řadu let tamní prodejci zanedbávali základní zásady bezpečnosti, ochrany dat i šifrování dat,“ říká Jakub Mahdal. „Ale včetně tolik potřebné prevence také ignorovali potřebu aktivní ochrany, vidět to bylo už i na případu společnosti Target, kde jejich bezpečností software hlásil podezřelé aktivity, ale zodpovědní lidé tomu nepřikládali důraz,“ dodává.