Το 2013, η εταιρεία λιανικής Target με έδρα τις Ηνωμένες Πολιτείες Αμερικής υπέστη μια τεράστια παραβίαση δεδομένων, με αποτέλεσμα να διαρρεύσουν οι πληροφορίες πιστωτικών και χρεωστικών καρτών 40 εκατομμυρίων πελατών. Πρόκειται για έναν τεράστιο όγκο ευαίσθητων δεδομένων που εκλάπησαν, οπότε ας δούμε τι ακριβώς συνέβη.
Σύμφωνα με την Υπηρεσία Έρευνας του Κογκρέσου (Congressional Research Service), στις 12 Δεκεμβρίου το Υπουργείο Δικαιοσύνης (DOJ) ειδοποίησε την Target για ύποπτη δραστηριότητα που σχετιζόταν με κάρτες που είχαν χρησιμοποιηθεί στα καταστήματα της Target. Την επόμενη μέρα, η Target συναντήθηκε με αξιωματούχους του DOJ και της Μυστικής Υπηρεσίας (Secret Service), και στις 14 Δεκεμβρίου η εταιρεία προσέλαβε ανεξάρτητους ειδικούς για να διεξάγουν εγκληματολογική έρευνα.
Η Target αναγνώρισε το κακόβουλο λογισμικό και δήλωσε ότι το μεγαλύτερο μέρος του είχε αφαιρεθεί μέχρι τις 15 Δεκεμβρίου. Στη συνέχεια, ειδοποίησε τους διαχειριστές πληρωμών για την παραβίαση και μέχρι τις 18 Δεκεμβρίου είχε αφαιρέσει το υπόλοιπο κακόβουλο λογισμικό. Ωστόσο, χρειάστηκε μέχρι τις 19 Δεκεμβρίου για να ανακοινώσει δημόσια την παραβίαση δεδομένων, αλλά τα προβλήματα για την Target δεν σταμάτησαν εκεί. Τις επόμενες εβδομάδες, η Target ανακοίνωσε ότι εκλάπησαν PIN, καθώς και προσωπικές πληροφορίες 70 εκατομμυρίων ανθρώπων. Αυτές οι πληροφορίες περιλάμβαναν ονόματα, αριθμούς τηλεφώνου, διευθύνσεις email και φυσικές διευθύνσεις.
Πώς οι χάκερ έκλεψαν τόσα δεδομένα καρτών και προσωπικές πληροφορίες;
Σύμφωνα με τον δημοσιογράφο ασφαλείας Brian Krebs, η επίθεση ξεκίνησε όταν οι χάκερ έκλεψαν τα διαπιστευτήρια της Fazio Mechanical Services, ενός προμηθευτή που εργαζόταν στα συστήματα HVAC (Heating, Ventilation, and Air Conditioning) της Target. Σύμφωνα με την εταιρεία HVAC, δεν διαχειριζόταν ή παρακολουθούσε εξ αποστάσεως τα συστήματα HVAC της Target, αλλά ήταν συνδεδεμένη με την Target για χρέωση, διαχείριση έργων και υποβολή συμβάσεων. Μια άλλη αναφορά του Krebs αναφέρει την ανεπιβεβαίωτη πληροφορία ότι οι επιτιθέμενοι εγκατέστησαν το κακόβουλο λογισμικό Citadel που κλέβει κωδικούς πρόσβασης στα συστήματα του προμηθευτή HVAC.
Δεν είναι ξεκάθαρο πώς ακριβώς οι επιτιθέμενοι κατάφεραν να χρησιμοποιήσουν την πρόσβασή τους στα συστήματα του προμηθευτή για να αποκτήσουν πρόσβαση στο δίκτυο της Target, αλλά κατά τη διάρκεια του Νοεμβρίου 2013, οι επιτιθέμενοι εγκατέστησαν κακόβουλο λογισμικό κλοπής δεδομένων πιστωτικών καρτών σε έναν περιορισμένο αριθμό συσκευών σημείων πώλησης (POS) στα καταστήματα της Target. Κατά τη διάρκεια αυτής της περιόδου, οι επιτιθέμενοι δοκίμαζαν το κακόβουλο λογισμικό για να βεβαιωθούν ότι λειτουργεί.
Μέχρι το τέλος του Νοεμβρίου, οι επιτιθέμενοι είχαν καταφέρει να εγκαταστήσουν το κακόβουλο λογισμικό στην πλειονότητα των συσκευών POS της Target και άρχισαν να συλλέγουν πληροφορίες πιστωτικών και χρεωστικών καρτών από τις τρέχουσες συναλλαγές πελατών. Μέχρι τις 15 Δεκεμβρίου, οι επιτιθέμενοι είχαν πρόσβαση σε περίπου 40 εκατομμύρια αρχεία καρτών.
Αφού οι επιτιθέμενοι είχαν συγκεντρώσει τα δεδομένα, το επόμενο βήμα ήταν να τα εξάγουν μυστικά. Σύμφωνα με τον Krebs, τα δεδομένα αρχικά μεταφέρθηκαν σε τοποθεσίες που δεν θα προκαλούσαν υποψίες, όπως διακομιστές σε μια επιχείρηση στο Μαϊάμι και άλλους διακομιστές στη Βραζιλία. Αφού τα δεδομένα βγήκαν με ασφάλεια εκτός ελέγχου της Target, οι επιτιθέμενοι μετέφεραν τα 11 gigabytes δεδομένων πελατών στην Ανατολική Ευρώπη. Τελικά, τα δεδομένα των καρτών πωλήθηκαν σε αγορές του darknet και προφανώς χρησιμοποιήθηκαν σε απόπειρες απάτης.