近两年来,美国零售业可说是一波未平、一波又起,骇客入侵业者的 POS 系统闹得满城风雨,搞得消费者人心惶惶。美国最大工艺品连锁店 Michaels 也身陷风暴,在 2014 年 4 月 17 日证实与子公司 Aaron Brothers 在美国的 POS 系统遭恶意程式攻击,约 300 万张金融卡资料外泄。
Michaels POS系统遭骇 造成约 300 万笔资料外泄
Michaels 专门销售艺术品及工艺品,目前在美国和加拿大共经营 1,135 家店面,其子公司 Aaron Brothers 则有 119 个销售据点,Michaels 身为全美最大工艺品连锁店,自然成为骇客眼中的肥羊,在 1 月时就曾表示,内部 POS 系统恐遭入侵且已着手调查,直到 4 月 17 日才证实确定遭骇客攻击。Michaels 及 Aaron Brothers 在官网上公告受影响的分店名单中,南加州地区的门市几乎无一幸免。
(图片来源:the Christian Science Monitor)
2013 年 5月 8 日到 2014 年 1 月 27 日间 Michaels 的 POS 系统遭入侵,造成约 260 万张金融卡资讯外泄,相当于储存金融卡数的 7 %;Aaron Brothers 则是在 2013 年 6 月 26 日到 2014 年 2 月 27 日间被骇客入侵,预估有 40 万张金融卡受影响。而目前除了证实卡片号码及到期日外泄外,还没有证据显示包含客户姓名、地址、PIN 码等个资遭外泄。
银行方面也通知 Michaels 有少数顾客金融卡遭盗刷,许多银行为维护客户权益而重新核发信用卡和金融卡,Michaels 和 Aaron Brothers 则表示,将提供一年免费的身份保护与信用监控服务,并协助客户处理诈欺案件。
(图片来源:Bank Information Security)
目前共 4 家零售商遭骇 牵连美国约三分之一人口
Michaels 已是 2013 年底以来第四个受害的零售商。美国第三大零售百货塔吉特(Target)是目前为止受害最惨烈的业者,2013 年底时对外宣布自家 POS 系统疑似遭入侵后,使贸易与销售量明显下降,对其第四季获利造成不小的冲击。2014 年 1 月时,塔吉特证实在 2013 年 11 月 27 日到 12 月 15 日间被骇客以恶意程式攻击,除了 4,000 万名客户金融卡资料外泄,甚至导致 7,000 万名客户的姓名、地址与电话号码等个资也遭外泄。
美国精品百货业者 Neiman Marcus 也在 1 月坦承遭骇客入侵长达 8 个月的时间,且在 2013 年 7 月到 10 月间共有 35 万笔客户资料遭窃取,共 35 万笔客户金融卡资料遭窃取,其中约 9,200 名客户的资料已被用来进行诈骗活动。而最近一次的类似事件是全球拥有超过 3,300 家店,美国国内有 2,600 家店的美容用品连锁店 Sally Beauty,在 3 月间也传出遭到骇客攻击。
可怕的是,Neiman Marcus、塔吉特、Michaels 和 Sally Beauty 遭骇客入侵 POS 系统的风波中所波及的顾客,相当于美国三分之一的人口数之多。
业界呼吁效法欧洲 采用更安全的EMV标准
面对一连串不断爆发的骇客入侵事件,美国零售业人人自危。美国参议院商业委员会(Senate Commerce Committee)讯问最先爆出资安问题的塔吉特和 Neiman Marcus 后认为,在遭到骇客以恶意程式攻击的期间,都有许多迹象显示资讯安全出了问题,但公司资安部门却没有立刻着手调查,恐因此而吃上一笔为数不小的罚金。
卷入风波的零售业者可说是赔了夫人又折兵,除了顾客金融卡资料外泄需缴纳罚金,更因此赔上了名誉,丢失了消费者的信心。
为了避免类似的情况再度发生,美国零售商和贸易商呼吁效法欧洲,尽速改革金融卡技术,广泛使用更安全的 EMV 标准,也就是以芯片卡取代传统的磁条卡。美国国家零售联盟(National Retail Federation,NRF)则宣布将创建平台,提供零售商相互交流维护资讯安全的想法与经验。
(图片来源:EDPS)
- Michaels Stores’ Breach Involved 3 Million Customers
- Michaels confirms breaches exposed nearly 3M credit cards
(首图来源:LocalSYR.com)
