美国零售业巨人塔吉特(Target)仍然受到大规模数据泄露事件的影响,该事件影响了4000万个信用卡和借记卡帐户,尽管该公司现在强调的是情况并不像某些人想象的那么糟糕。Target 于12月19日公开承认,其美国零售店已成为数据泄露的受害者。
此后的几天里,尽管Target已经提供了一些有关其自身安全实践的新见解,但有关攻击者利用Target的实际方法的详细信息很少被公开。Target骇客针对的销售点付款系统,包括零售消费者用来输入借记卡PIN的系统。为了使任何人都可以使用借记卡,需要一个PIN码,这使得PIN信息的安全性成为任何零售商基础结构中极为重要的组成部分。
在12月27日发布的公共媒体更新中,Target强调其客户的PIN信息已使用Triple Data Encryption Standard(DES)进行了高度加密。
Target说:“ PIN信息在键盘上已完全加密,在我们的系统中保持加密,并在从系统中删除时仍保持加密。”
更进一步,Target指出它在自己的系统中不持有Triple DES加密密钥,并且只能由付款处理器解密数据。
塔吉特说:“这意味着解密数据所需的密钥在塔吉特系统内不存在,在这次事件中也没有被获取。” “让我们的客人知道的最重要的事情是,由于使用了已加密的PIN码,他们的借记卡帐户并未受到损害。”
诉讼案
虽然塔吉特继续向客户保证,它正在尽其所能来限制风险,但违规行为的法律含义也已浮出水面。
Target客户已在美国各地就信用卡和借记卡信息盗窃案提起多项诉讼。
Target致力于使美国司法部长了解其活动和数据泄露。目标执行副总裁兼法律总顾问蒂姆·贝尔(Tim Baer)于12月23日与大多数州检察长就此违规行为举行了电话会议。
Target说:“随着正在进行的调查的进行,我们致力于向总检察长通报情况,并将在1月6日这一周与他们进行跟进。”