सुरक्षा से जुड़ी जानकारी के अनुसार, पिछले साल के अंत में लाखों अमेरिकी लोगों की वित्तीय और व्यक्तिगत जानकारी को उजागर करने वाले कुख्यात लक्ष्य सुरक्षा उल्लंघन के कारण कंपनी के नियमित संचालन और रखरखाव कार्यों को अलग-अलग नेटवर्क पर रखने में विफलता का परिणाम था। शोधकर्ता ब्रायन क्रेब्स, जिन्होंने पहली बार दिसंबर में उल्लंघन की सूचना दी थी।
पिछले हफ्ते लक्ष्य ने द वॉल स्ट्रीट जर्नल को बताया कि उसके नेटवर्क का प्रारंभिक उल्लंघन तीसरे पक्ष के विक्रेता से चोरी की गई जानकारी को दर्ज करने के लिए किया गया था। श्री क्रेब्स अब रिपोर्ट करते हैं कि प्रश्न में विक्रेता Fazio मैकेनिकल सर्विसेज, एक शार्प्सबर्ग, पीए-आधारित फर्म है जो प्रशीतन और HVAC स्थापना और रखरखाव प्रदान करने के लिए लक्ष्य के साथ अनुबंधित था। फ़ाज़ियो के अध्यक्ष रोस फ़ाज़ियो ने पुष्टि की कि कंपनी को यूएस सीक्रेट सर्विस द्वारा जांच के हिस्से के रूप में देखा गया था, लेकिन अभी तक अपने कर्मचारियों को सौंपे गए लॉगिन क्रेडेंशियल्स की कथित भागीदारी के बारे में कोई सार्वजनिक बयान नहीं दिया है।
फ़ैज़ियो कर्मचारियों को ऊर्जा के उपयोग और प्रशीतन तापमान जैसे मापदंडों की निगरानी के लिए लक्ष्य नेटवर्क के लिए दूरस्थ पहुँच प्रदान की गई थी। लेकिन क्योंकि लक्ष्य कथित रूप से अपने नेटवर्क को खंडित करने में विफल रहा, इसका मतलब था कि जानकार हैकर्स खुदरा विक्रेताओं के संवेदनशील बिंदु (पीओएस) सर्वर तक पहुंचने के लिए उन्हीं तीसरे पक्ष के रिमोट क्रेडेंशियल्स का उपयोग कर सकते हैं। अभी भी अज्ञात हैकर्स ने टारगेट के POS सिस्टम के अधिकांश हिस्से में मालवेयर अपलोड करने की इस भेद्यता का लाभ उठाया, जिसने तब 70 मिलियन ग्राहकों तक के भुगतान और व्यक्तिगत जानकारी पर कब्जा कर लिया, जो नवंबर के अंत और मध्य दिसंबर के बीच स्टोर पर खरीदारी करते थे।
इस रहस्योद्घाटन ने लक्षित अधिकारियों द्वारा एक परिष्कृत और अप्रत्याशित साइबर चोरी के रूप में घटना के लक्षण वर्णन पर संदेह व्यक्त किया है। हालांकि अपलोड किया हुआ मालवेयर वास्तव में काफी जटिल था, और जबकि फ़ाज़ियो कर्मचारियों ने लॉगिन क्रेडेंशियल्स की चोरी की अनुमति देने के लिए कुछ दोष साझा किया, यह तथ्य बना हुआ है कि यदि लक्षित दिशानिर्देशों में सुरक्षा दिशानिर्देशों का पालन किया जाता और भुगतान को अलग-थलग रखने के लिए अपने नेटवर्क को खंडित कर दिया जाता तो या तो हालत खराब हो जाती। उन नेटवर्क से जो अपेक्षाकृत व्यापक पहुंच की अनुमति देते हैं।
जोडी ब्राज़ील, सिक्योरिटी फर्म फायरमैन के संस्थापक और सीटीओ, ने कंप्यूटरवर्ल्ड को समझाया, “इसके बारे में कोई कल्पना नहीं है। लक्ष्य ने अपने नेटवर्क पर तीसरे पक्ष की पहुँच की अनुमति देने के लिए चुना, लेकिन उस पहुँच को ठीक से सुरक्षित करने में विफल रहा। "
यदि अन्य कंपनियां टारगेट की गलतियों से सीखने में विफल रहती हैं, तो उपभोक्ता और भी अधिक उल्लंघनों का पालन करने की उम्मीद कर सकते हैं। स्टीफन बॉयर, सीटीओ और जोखिम प्रबंधन फर्म बिटसाइट के सह-संस्थापक ने समझाया, “आज की हाइपर-नेटवर्क दुनिया में, कंपनियां अधिक से अधिक व्यापार भागीदारों के साथ काम कर रही हैं जैसे भुगतान संग्रह और प्रसंस्करण, विनिर्माण, आईटी और मानव संसाधन। संवेदनशील जानकारी तक पहुंच प्राप्त करने के लिए हैकर्स प्रविष्टि का सबसे कमजोर बिंदु पाते हैं, और अक्सर वह बिंदु पीड़ित के पारिस्थितिकी तंत्र के भीतर होता है। ”
लक्ष्य अभी तक उल्लंघन के परिणामस्वरूप भुगतान कार्ड उद्योग (पीसीआई) सुरक्षा मानकों का उल्लंघन नहीं पाया गया है, लेकिन कुछ विश्लेषकों ने कंपनी के भविष्य में परेशानी का सामना किया है। अत्यधिक अनुशंसित होने पर, PCI मानकों को भुगतान और गैर-भुगतान कार्यों के बीच अपने नेटवर्क को खंडित करने के लिए संगठनों की आवश्यकता नहीं होती है, लेकिन कुछ सवाल भी बने रहते हैं कि क्या लक्ष्य के तीसरे पक्ष की पहुंच ने दो-कारक प्रमाणीकरण का उपयोग किया है, जो एक आवश्यकता है। पीसीआई मानकों के उल्लंघन के कारण बड़े जुर्माना हो सकते हैं, और गार्टनर के विश्लेषक अविवाह लतान ने श्री क्रेब्स को बताया कि कंपनी को उल्लंघन पर 420 मिलियन डॉलर तक का जुर्माना लग सकता है।
सरकार ने भी उल्लंघन के जवाब में कार्रवाई शुरू कर दी है। ओबामा प्रशासन ने इस सप्ताह सख्त साइबर-सुरक्षा कानूनों को अपनाने की सिफारिश की, जिससे अपराधियों के साथ-साथ कंपनियों के लिए संघीय आवश्यकताओं के साथ-साथ सुरक्षा उल्लंघनों के मद्देनजर ग्राहकों को सूचित करने और कुछ न्यूनतम प्रथाओं का पालन करने के लिए संघीय नीतियों की आवश्यकता होती है।
