家得宝在数月的安全警告后遭到黑客攻击 - 彭博社

Ben Elgin, Michael Riley, Dune Lawrence

2014-09-19

对于一家拥有2266家门店和790亿美元年收入的零售商来说，购买软件以防止黑客攻击是个好主意。使用该软件则是更好的选择。在网络犯罪分子渗透美国和加拿大的家得宝门店的支付系统之前的一年，该零售商根据内部公司电子邮件和报告遭受了至少两次较小的黑客攻击。之后，家得宝的安全承包商敦促公司通过激活其安全软件的一个关键未使用功能来加强其网络防御，内部文件称该功能将为客户刷卡的零售终端增加一层保护。

家得宝在9月8日确认发生了数据泄露，几乎是在与其客户相关的信用卡数据在黑市网站 Rescator.cc 上出售一周后。

此次黑客攻击使多达5600万张卡面临风险——超过去年在塔吉特遭遇的数据泄露影响的4000万张卡，家得宝今天表示。

这家家居改善连锁店预计今年将支付约6200万美元来恢复此次入侵的损失，包括呼叫中心人员和法律费用。公司表示，保险将覆盖其中2700万美元的费用。

内部的家得宝文件显示，这家总部位于亚特兰大的零售商选择保持额外安全措施未激活，尽管该措施专门设计用于检测攻击系统端点的恶意软件，例如在塔吉特、迈克尔斯、尼曼·马库斯等地受到攻击的收银机。

尽管关于家得宝泄露事件的细节很少浮出水面——并且尚不清楚停用的保护措施是否能够阻止它——但一位熟悉调查的人士表示，攻击确实影响了商店的收银机。

家得宝今天在一份声明中表示，黑客使用定制的软件来规避检测，依赖于在之前的攻击中未曾使用的工具。根据声明，这种恶意软件“被认为在2014年4月至9月之间存在”，现在已经从公司的系统中移除。

家得宝表示，其系统泄露可能早在4月就已开始。三位熟悉公司网络安全的人士表示，至少在4月之前，零售商尚未进行建议的改进，他们没有被授权公开讨论此事。

家得宝发言人斯蒂芬·霍尔姆斯表示：“当我们的合作伙伴提出建议时，这些建议会根据手头最佳解决方案进行处理、排序和执行，最终以客户的最佳利益为重。”他拒绝进一步评论。

尚不清楚家得宝为何抵制在其软件套件中激活入侵防御功能，该软件是赛门铁克的一款名为端点保护的产品。内部文件表明，该程序有时会产生误报。两位曾在家得宝工作的信息安全经理表示，他们的主管告诉他们要在提高安全性方面以降低成本和系统停机时间为代价。他们和另外三名因担心报复而要求匿名的前员工表示，信息安全部门在过去三年中一直在与员工流动和旧软件作斗争。

安全顾问在2013年8月至2014年2月期间多次敦促家得宝开启一个终端保护功能，内部文件显示。根据2013年10月1日由顾问FishNet Security为家得宝准备的报告，该零售商通过关闭赛门铁克的网络威胁保护（NTP）防火墙而使其计算机处于脆弱状态，转而使用与Windows捆绑的防火墙。“强烈建议并推荐部署NTP防火墙组件，并停止使用Windows防火墙，”报告中指出。报告称，为了使入侵防御正常工作，所有家得宝计算机，包括收银支付终端，都需要NTP。相反，该公司在其收银机上关闭了保护，并继续在网络层面扫描可疑活动，内部文件显示。FishNet拒绝发表评论。

尽管尚不清楚收银层面的入侵检测是否能够防止此次泄露，但专家表示，这可能显著提高检测恶意软件的机会。“简单的策略效果显著，比如跟踪是否有新的程序在运行，”数据分析公司Nuix的恶意软件研究员Josh Grunzweig说。“我认为这可以捕捉到95%的这类问题。”

家得宝之前并未对其收银机和店内计算机上的客户卡数据进行加密，三位仍在关注该运营的公司前信息安全经理表示。今天，该公司宣布，截至9月13日，已完成“一个重大安全项目”，将为其美国商店提供增强的加密。该加密项目将在2015年初前在加拿大商店完成，该公司表示。

去年的两个小事件表明，零售商的收银机可能存在漏洞。根据一封内部电子邮件，2013年7月25日，德克萨斯州登顿的一家家得宝发生了一起数据窃取病毒事件，传播到至少八台收银机。12月，马里兰州哥伦比亚的一家商店被发现感染了“信息窃取者”，这是一种以窃取信用卡数据而闻名的恶意软件。在这两起事件中，尚不清楚客户的信用卡是否受到影响。

在2月份，家得宝要求FishNet调查其对Adobe Flash播放器中一个先前未知漏洞的暴露情况。在2月13日的报告中，FishNet再次敦促零售商部署NTP和入侵防御，以加强其防御。根据三位熟悉家得宝安全情况的人士的说法，截至4月，这一措施尚未实施。

前信息安全经理表示，包括信息安全主管杰夫·米切尔在内的高管们拒绝了加强网络防御的努力。两位在2011年和2012年离开公司的经理都表示，米切尔告诉他们要满足于“C级安全”，因为更雄心勃勃的措施将会很昂贵，并可能干扰关键系统。这些优先事项让信息安全部门的员工感到沮丧，导致在过去三年中，团队中不到50人的员工中出现了数十人离职，前经理们表示。米切尔没有回应评论请求。

前经理们表示，家得宝在其商店中还使用过时的 antivirus 软件。到4月，它仍在使用2007年首次发布的赛门铁克的端点保护11。赛门铁克在2011年推出了12版，并在新闻稿中表示“威胁形势发生了显著变化”，并且新产品将保护免受“恶意软件范围和复杂性爆炸”的影响。赛门铁克拒绝发表评论。

家得宝计划迁移到端点保护12，但在被认为开始的泄露事件发生时尚未完成过渡，三位熟悉该公司安全情况的人士表示。家得宝拒绝透露升级是否正在进行中。今年，赛门铁克开始逐步停止对旧版本的客户支持。根据软件公司的网站，所有支持将于1月5日结束。它直言不讳地表示：“这是产品生命周期的结束。”