数据泄露在四个美国零售链中透露

2021-11-23 16:46:29来源：

数据泄露在美国百货商店Chains Saks Fifth Avenue，Saks Offth，Lord＆Taylor和Bakery-StyleCafé连锁Panera面包在过去的两天里。

在复活节星期天，哈德森湾是三家店铺链的母公司，证实，违反其支付系统损害了客户的个人信息。

该公司没有说有多少客户受到影响，但哈德森表示，违约表明，违约使其在线购物网站或其他品牌如哈德森的海湾店在加拿大。

在纽约的安全公司Gemini咨询之后，确认出现了一个被称为JokerStash或Fin7的网络犯罪集团窃取了五百万个属于三百百货店铺的顾客，其中125,000人在黑暗中出售。网。

根据Gemini咨询的说法，有证据表明，有证据表明，初步违规行为大约一年前，这意味着刑事团体负责的刑事集团已经没有收到几个月的客户数据。

网络犯罪集团已与大型酒店和餐厅链有关的违约，据说，在经理，主管和其他关键决策者上使用网络钓鱼电子邮件，以欺骗他们打开启动恶意软件，即启动妥协的附件。

Gemini分析报告称，突破强调转型到零售业务中更安全的EMV销售终端销售终端的重要性。“虽然许多大型零售商在2017年将乘坐旧世代Magstripe终端完全迁移到EMV，但报告称，几个全国链仍然没有这样做。”

报告称，报告称，盗窃了五百万支付卡，毫无疑问，在现代历史上最重要的信用卡，并将对北美的大量消费者产生负面影响。

然而，该报告还指出，近年来，美国和加拿大银行大家拥有欺诈检测能力，这将使他们能够尽量减少违反其客户的影响。

Leigh-Anne Galloway，网络安全性弹性领先于积极的技术，表示，如同自动银行机（ATM），销售点终端可能是一个被忽视的支付基础设施区域。“POS系统只是运行操作系统的计算机，如果它们不经常维护和更新，可能会易受利用。如果攻击者能够访问网络上的单个POS，则通常可以感染整个终端网络，“她说。

在复活节星期一，安全博主Brian Krebs透露，PanerabRead.com网站泄露了数百万的客户记录 - 包括姓名，电子邮件和物理地址，生日和客户信用卡号码的最后四位数字 - 至少八个月。

该公司被告知，在2017年8月的安全专家Dylan Houlihan的纯文本上提供了在PanerabRead.com上注册的任何人的个人数据，但Panera Back的信息安全主管Mike Gustavison首先被解雇了作为可能的骗局报告，然后在哈林汉一周的持续信息之后，古斯塔维森说Panera面包是“在决议上工作”。

但是，当公司未能采取行动解决问题八个月时，Houlihan表示，他设置了一个帕特班页面描述漏洞的页面，并报告了克莱斯的问题，谁报告了该网站仍然泄露纯文本的客户记录。

“更糟糕的是，记录可以被索引和爬行，以非常努力的努力，”他在他的克雷斯的安全博客帖子中写道。Krebs还报告说，在他通过电话与Panera的首席信息官John Meister发表讲话后，该公司将脱机搭乘网站。

根据Krebs，该网站稍后将在线放置，但客户数据不再似乎可以到达。该公司发表了一份声明，该问题已在克雷斯联系的两小时内得到了修复，但没有解释为什么Houlihan通知问题后的八个月内没有任何作用。

该声明表示，该公司的调查是持续的，但声称没有证据证据证据证书信息，也没有被访问或检索大量记录。

虽然目前尚不清楚公司的泄漏网站可能会出现多少Panera客户记录，但克雷布斯表示，该网站索引的客户编号表明数字可能高于七百万。

为了回应Krebs的报告，Panera发布了另一个宣布违反违约的严重性的陈述，指出只暴露了10,000名客户记录。

然而，在对他的原始故事的更新中，克雷布斯表示，持有安全的调查表明，这一违约可能远远超过七百万客户记录，漏洞也似乎扩展到Panera的商业广告，这提供了无数的餐饮公司。

“最后的数量，在这个违规行为中暴露的客户记录的数量似乎超过3700万，”Krebs表示。在撰写本文时，PanerabRead.com网站再次离线。

一位万事达卡公司纽泰特公司的董事Lisa Baergen对Panera面包突破，Lisa Baergen表示，公司名称改变，但故事保持不变。

“再次，客户已经泄露了他们的信息，因为公司的安全程序不良，他们继续单独依赖纯文本标识符和静态数据，如信用卡号，密码甚至简单的客户名称和电话号码，”她说。

根据Baergen的说法，验证和有效的保护客户的途径易于获得，越来越广泛地实施。

“这些是通过无源生物识别的多层安全解决方案，通过在交易过程中在线评估消费者的固有行为而不添加摩擦。