dezembro 31, 2013

[Segurança] Um supermercado e 40 milhões de clientes

Recentemente a Target, uma das maiores redes de supermercados dos EUA, anunciou que foi invadida e teve os dados de aproximadamente 40 milhões de dados de clientes roubados por ciber criminosos, referente aos dados de cartões de crédito e débito destes clientes. Este é um dos maiores casos de roubos de dados de 2013 e, até o momento, está entre os 15 maiores casos de todos os tempos.

O roubo dos dados dos cartões aconteceu entre os dias 27 de novembro e 15 de dezembro, e foram roubados dados das trilhas magnéticas de cartões de clientes americanos e até mesmo de extrangeiros que compraram em lojas da Target nos EUA.

Conforme o tempo vai passando, ficamos sabendo de mais detalhes sobre este roubo de dados:
  • A história foi revelada dia 18 de dezembro pelo Brian Krebs, um jornalista bem conhecido e especializado em ciber crime - e a invasão foi descoberta pela Target poucos dias antes, 15/12;
  • A Target tem feito um belo esforço de comunicação e transparência, que inclui a participação do comitê executivo e do CEO da empresa e uma página de FAQ. A empresa também criou um hotsite para concentrar as notícias sobre o caso: Target.com/paymentcardresponse - tudo isso para não perder a credibilidade com seus clientes;
  • O roubo de dados aconteceu através de um malware que infectou o sistema de ponto de vendas; neste caso, é muito provável que um malware tenha infectado os computadores dos caixas, nos quais estão conectados os terminais de leitura de cartões;
  • Aparentemente, foram infectados 40mil dos 60mil terminais de ponto de venda da Target. O malware interceptava os dados das trilhas magnéticas e os enviava para um servidor externo;
  • A própria Target divulgou que alguns ciber criminosos tem usado o incidente para enviar mensagens de phishing em nome da Target;
  • O Brian Krebs relatou que os dados de cartões da Target que foram roubados já estão a venda no mercado underground, em lotes de um milhão de cartões e com preços variando entre 20 e 100 dólares por cartão;
  • Estima-se que a Target poderá gastar até 3,6 bilhões de dólares em multas;
  • Segundo a própria Target, os ciber criminosos também tiveram acesso as senhas (PINs) dos cartões de débito, porém eles acreditam que os ciber criminosos não terão acesso as senhas pois o arquivo estava criptografado (usando o arcaico, porém funcional 3DES);
  • Segundo a Target, além dos dados de 40 milhões de cartões de crédito, a empresa estima que os atacantes também acessaram os dados pessoais de 70 milhões de clientes;
  • Especula-se que a segunda invasão, de dados pessoais de 70 milhões de clientes, podem incluir dados de clientes que compraram na Target pelo menos nos últimos 10 anos;
  • O malware foi identificado: conhecido como Trojan.POSRAM, BlackPOS e como Kaptoxa, ele captura dados armazenados na memória do computador infectado aonde está rodando os softwares do equipamento de ponto de venda (PoS). Está a venda no mercado underground por preço entre US$ 1.800 e 2.300, dependendo da versão;
  • Os hackers conseguiram roubar cerca de 11 Gigabytes de dados, que foram enviados para um servidor FTP na Rússia;
  • A empresa CrowdStrike divulgou o conjunto de regras para serem usadas nas ferramentas Yara e Snort, que permitem a detecção do tráfego de rede gerado pelo malware utilizado no ataque a Target, batizado de BlackPOS (vide post no blog deles, Actionable Indicators for Detection of Signs of Compromise from Target-related Breaches);
  • Segundo a empresa IntelCrawler, o malware BlackPOS tem menos de 400 linhas de código, o que mostra sua eficiência, e foi criado por um programador russo de 17 anos;
  • Há suspeitas de que o mesmo malware que afetou a Target pode ter invadido também a cadeia de lojas Neiman Marcus (1.1 milhões de cartões roubados) e mais seis redes varejistas nos EUA;
  • Segundo investigações, a Target foi invadida através de uma prestadora de serviços de manutenção predial, que faz manutenção nos equipamentos de aquecimento e ar condicionado, e que utiliza um software para monitorar a temperatura e consumo de energia em várias lojas. Crdenciais de acesso desta empresa foram roubados após ela ter sido infectada por um malware (Citatel) enviado por e-mail;
  • Segundo a empresa invadida, ela tinha um link de dados com a Target para submeter cobranças eletrônicas, contratos e material relacionado a gestão de projetos;
  • Durante a invasão, os dados roubados foram enviados para servidores em todo o mundo, incluindo nos EUA, na Rússia e no Brazil;
  • A imprensa já destaca que a quantidade de dados roubados da Target pode atingir entre 70 a 110 milhões de clientes, já que inclui dados de dois ataques que a empresa sofreu, afetando 40 milhões de cartões de créditos e informações pessoais de 70 milhões clientes (e não está claro como esses números se sobrepoem, ou não);
  • A Target já anunciou que está contratando um novo CIO e criou um cargo de CISO (Chief Information Security Officer). A antiga CIO, Beth Jacob, deixou a compania no dia 05 de Março;
  • Segundo pesquisadores da empresa Seculert, o ataque seguiu o seguinte cronograma de eventos: "No dia 02/12/2013, o malware começou a transmitir payloads de dados roubados para um servidor FTP no que parece ser um site previamente invadido. Estas transmissões de dados ocorreram várias vezes por dia, durante 2 semanas. Também em 02/12, os cibercriminosos usaram um servidor virtual privado (VPS) localizada na Rússia para baixar do servidor FTP os dados roubados. Eles continuaram a fazer o download dos dados por mais de 2 semanas, representando um total de 11 GB de informações confidenciais de clientes que foram roubadas";
  • Já temos alguns dados sobre o impacto financeiro do roubo de dados para a Target: seu lucro no quarto trimestre de 2013 (referente a um faturamento de US $21.5 bilhões) caiu quase 50% e o lucro anual caiu mais de um terço. As ações cairam 9% desde o anúncio do roubo de dados. Além do mais, a empresa gastou US$ 17 milhões com o roubo de dados em 2013, e até o momento não sabe qual será o custo que ela terá que arcar por causa do roubo de dados durante 2014 :(
  • O roubo de dados da Target afetou, aproximadamente, 1/3 dos consumidores americanos;
  • A Bloomberg publicou mais alguns detalhes sobre o roubo de dados: uma vez que o malware conseguiu invadir a Target em 30/11, os dados só começaram a ser retirados para fora da rede em 02 de dezembro, sendo enviados automaticamente para três servidores diferentes nos EUA, apenas no horário entre as 10:00 e 18:00 para garantir que o tráfego de dados de saída seria confundido junto com o tráfego de rede durante o horário de trabalho. A partir desses servidores as informações foram enviadas para Moscou;
  • Os sistemas de segurança da Target, fornecidos pela FireEye seis meses antes, alarmaram durante o ataque: quando os invasores instalaram o malware e quando roubaram os dados para fora da empresa. Mas nada foi feito;
  • Alguns dos bancos americanos afetados pelo roubo de dados entraram com um processo contra a empresa e contra a Trustwave, a empresa de consultoria que certificou a Target dentro do padrão PCI/DSS (Payment Card Industry Data Security Standard) e que fornecia serviços de monitoração e detecção de intrusos para a Target, inclusive durante as 3 semanas em que durou a invasão.


  • No final de Abril/2014 a Target anunciou seu novo CIO (e continua procurando um CISO).
  • Segundo a Target, várias ações foram feitas para melhorar a segurança da empresa:
    • Melhorar o monitoramento e registro de logs, incluindo a implementação de regras adicionais, mais alertas e logs, centralizando os feeds de logs;
    • Instalação de whitelisting de aplicação nos sistemas de ponto-de-venda;
    • Melhor segmentação de redes, incluindo o desenvolvimento de ferramentas de gerenciamento dos pontos-de-venda, além da revisão e racionalização das regras de Firewall com base em um processo abrangente de governança;
    • Rever e limitar o acesso dos fornecedores, incluindo o cancelamento de alguns meios de acesso dos fornecedores, incluindo o bloqueio dos protocolos FTP e telnet;
    • Aumentar a segurança de contas de usuários: revisão de contas e senhas dos 445.000 membros da equipe da Target e terceiros, ampliação do uso de autenticação de dois fatores, desativação de várias contas de fornecedores, redvisão de privilégios para certas contas e conscientização e treinamento sobre troca de senha;
    • A partir do início de 2015, todos os cartões de crédito e débito da Target (chamados de REDcard) utilizarão chip (tecnologia chamada no mercado de CHIP-and-PIN) em parceria com a MasterCard.
  • No início de Maio/2014, a Target anunciou a saída do seu CEO;
  • Segundo dados de Agosto/2014, a Target gastou um valor estimado em 146 milhões de dólares com a invasão. Além disso, o lucro trimestral da empresa continua abaixo dos anos anteriores, representando perdas nos últimos três trimestres seguidos;
  • No final de Agosto de 2015, a Target e a Visa fecharam um acordo judicial no qual a Target vai reembolsar um total de 67 Milhões de dólares referente aos prejuízos dos emissores de cartões Visa afetados pelo vazamento de dados.

O roubo da Target foi menor que outros casos famosos como da TJX (94 milhões de cartões roubados em 2007) e da Heartland Payment Systems (130 mil cartões em 2009), nem chega aos pés do roubo de dados da Adobe que comprometeu dados de 152 mil usuários. Mas, mesmo assim, é um caso que ilustra a importância da devida proteção aos dados e, mas ainda, como as empresas tem que se esforçar para corrigir os problemas causados por um incidente destes.

Notas:
  • Post atualizado em 02/01/2014. Atualizado em 16/01 com a notícia do acesso aos dados pessoais de 70 milhões de clientes;
  • Atualizado em 17/01 com a informações sobre a quantidade de dados roubados (11 GB em 2 semanas) e sobre detalhes do malware;
  • Atualização 20/01 com link para o blog da empresa CrowdStrike com o conjunto de regras para detectar o BlackPOS no Yara e no Snort.
  • Atualização em 22/01: há suspeitas de que outras redes de lojas também foram invadidas; dois links para o blog da empresa IntelCrawler com novidades sobre o BlackPOS;
  • Atualizado em 22 e 24/02 com informações sobre como foi feita a invasão da Target (através de um prestador de serviços que tinha acesso a rede deles);
  • Post atualizado em 17/03 com algumas informações adicionais e a imagem dos dias em que ocorreu o roubo de dados;
  • Post atualizado em 27/03 com a informações sobre os alertas de segurança serem ignorados durante o ataque e sobre o processo contra a Target e a Trustwave.
  • Atualização em 02/05 com a notícia da contratação do novo CIO "pós-breach" e das medidas de segurança que a Target tem tomado.
  • Atualizado em 6/05 com a saída do CEO da Target.
  • Atualização em 18/9/14 com dados recentes sobre os prejuízos da Target.
  • Post atualizado em 03/09/15 com a notícia do acordo judicial com a Visa. Aproveitei e coloquei em destaque (negrito) os dados mais interessantes das noticias.
Postado por em
Marcadores: , ,

Um comentário:

Gustavo Araujo Bittencourt disse...

Dois artigos interessantes sobre o "roubo" ou "não roubo" dos PINs:

http://blog.erratasec.com/2013/12/target-displays-its-incompetence.htm

http://blog.cryptographyengineering.com/2013/12/can-hackers-decrypt-targets-pin-data.html

6:13 AM, dezembro 31, 2013

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.