美最大工藝品連鎖店 Michaels 遭駭,300 萬筆資料外洩

作者 | 發布日期 2014 年 05 月 01 日 9:30 | 分類 資訊安全
michaels' data breach

近兩年來,美國零售業可說是一波未平、一波又起,駭客入侵業者的 POS 系統鬧得滿城風雨,搞得消費者人心惶惶。美國最大工藝品連鎖店 Michaels 也身陷風暴,在 2014 年 4 月 17 日證實與子公司 Aaron Brothers 在美國的 POS 系統遭惡意程式攻擊,約 300 萬張金融卡資料外洩。



Michaels POS系統遭駭 造成約 300 萬筆資料外洩

Michaels 專門銷售藝術品及工藝品,目前在美國和加拿大共經營 1,135 家店面,其子公司 Aaron Brothers 則有 119 個銷售據點,Michaels 身為全美最大工藝品連鎖店,自然成為駭客眼中的肥羊,在 1 月時就曾表示,內部 POS 系統恐遭入侵且已著手調查,直到 4 月 17 日才證實確定遭駭客攻擊。Michaels 及 Aaron Brothers 在官網上公告受影響的分店名單中,南加州地區的門市幾乎無一倖免。

michaels  (圖片來源:the Christian Science Monitor

2013 年 5月 8 日到 2014 年 1 月 27 日間 Michaels 的 POS 系統遭入侵,造成約 260 萬張金融卡資訊外洩,相當於儲存金融卡數的 7 %;Aaron Brothers 則是在 2013 年 6 月 26 日到 2014 年 2 月 27 日間被駭客入侵,預估有 40 萬張金融卡受影響。而目前除了證實卡片號碼及到期日外洩外,還沒有證據顯示包含客戶姓名、地址、PIN 碼等個資遭外洩。

銀行方面也通知 Michaels 有少數顧客金融卡遭盜刷,許多銀行為維護客戶權益而重新核發信用卡和金融卡,Michaels 和 Aaron Brothers 則表示,將提供一年免費的身分保護與信用監控服務,並協助客戶處理詐欺案件。

michaels-following-fraud-trail-showcase_image-10-a-6442(圖片來源:Bank Information Security

目前共 4 家零售商遭駭 牽連美國約三分之一人口

Michaels 已是 2013 年底以來第四個受害的零售商。美國第三大零售百貨塔吉特(Target)是目前為止受害最慘烈的業者,2013 年底時對外宣布自家 POS 系統疑似遭入侵後,使貿易與銷售量明顯下降,對其第四季獲利造成不小的衝擊。2014 年 1 月時,塔吉特證實在 2013 年 11 月 27 日到 12 月 15 日間被駭客以惡意程式攻擊,除了 4,000 萬名客戶金融卡資料外洩,甚至導致 7,000 萬名客戶的姓名、地址與電話號碼等個資也遭外洩。

美國精品百貨業者 Neiman Marcus 也在 1 月坦承遭駭客入侵長達 8 個月的時間,且在 2013 年 7 月到 10 月間共有 35 萬筆客戶資料遭竊取,共 35 萬筆客戶金融卡資料遭竊取,其中約 9,200 名客戶的資料已被用來進行詐騙活動。而最近一次的類似事件是全球擁有超過 3,300 家店,美國國內有 2,600 家店的美容用品連鎖店 Sally Beauty,在 3 月間也傳出遭到駭客攻擊。

可怕的是,Neiman Marcus、塔吉特、Michaels 和 Sally Beauty 遭駭客入侵 POS 系統的風波中所波及的顧客,相當於美國三分之一的人口數之多。

 

業界呼籲效法歐洲 採用更安全的EMV標準

面對一連串不斷爆發的駭客入侵事件,美國零售業人人自危。美國參議院商業委員會(Senate Commerce Committee)訊問最先爆出資安問題的塔吉特和 Neiman Marcus 後認為,在遭到駭客以惡意程式攻擊的期間,都有許多跡象顯示資訊安全出了問題,但公司資安部門卻沒有立刻著手調查,恐因此而吃上一筆為數不小的罰金。

捲入風波的零售業者可說是賠了夫人又折兵,除了顧客金融卡資料外洩需繳納罰金,更因此賠上了名譽,丟失了消費者的信心。

為了避免類似的情況再度發生,美國零售商和貿易商呼籲效法歐洲,盡速改革金融卡技術,廣泛使用更安全的 EMV 標準,也就是以晶片卡取代傳統的磁條卡。美國國家零售聯盟(National Retail Federation,NRF)則宣布將創建平台,提供零售商相互交流維護資訊安全的想法與經驗。

EMV(圖片來源:EDPS

(首圖來源:LocalSYR.com

關鍵字: , , ,

發表迴響