Ang nakakahamak na paglabag sa seguridad ng Target na nakalantad sa pinansiyal at personal na impormasyon ng sampu-sampung milyong Amerikano huli noong nakaraang taon ay ang resulta ng pagkabigo ng kumpanya na mapanatili ang mga nakagawiang operasyon at pagpapanatili nito sa isang hiwalay na network mula sa mga kritikal na pag-andar ng pagbabayad, ayon sa impormasyon mula sa seguridad researcher na si Brian Krebs, na unang naiulat ang paglabag sa Disyembre.
Ang target noong nakaraang linggo ay isiniwalat sa The Wall Street Journal na ang paunang paglabag sa kanyang network ay na-trace sa impormasyon sa pag-login na ninakaw mula sa isang third party vendor. Iniulat ngayon ni G. Krebs na ang nagtitinda na pinag-uusapan ay Fazio Mechanical Services, isang Sharpsburg, PA-based firm na nagkontrata sa Target upang magbigay ng pag-install at pagpapanatili ng HVAC. Kinumpirma ng pangulo ng Fazio na si Ross Fazio na ang kumpanya ay binisita ng US Secret Service bilang bahagi ng pagsisiyasat, ngunit hindi pa nakagawa ng anumang pahayag sa publiko tungkol sa naiulat na paglahok ng mga kredensyal sa pag-login na itinalaga sa mga empleyado nito.
Ang mga empleyado ng Fazio ay binigyan ng malayuang pag-access sa network ng Target upang masubaybayan ang mga parameter tulad ng paggamit ng enerhiya at temperatura ng pagpapalamig. Ngunit dahil sa naiulat na nabigo ang Target na i-segment ang network nito, nangangahulugan ito na ang mga nalalaman na hacker ay maaaring gumamit ng parehong mga third party na mga malalayong kredensyal upang ma-access ang mga sensitibong punto ng pagbebenta (POS) ng tagabenta. Sinamantala ng hindi pa kilalang mga hacker ang kahinaan na ito upang mag-upload ng malware sa karamihan ng mga sistema ng POS ng Target, na pagkatapos ay nakuha ang pagbabayad at personal na impormasyon ng hanggang sa 70 milyong mga customer na nag-shock sa tindahan sa pagitan ng huli ng Nobyembre at kalagitnaan ng Disyembre.
Ang paghahayag na ito ay nagtataglay ng pag-aalinlangan sa pagkilala sa kaganapan ng mga executive executive bilang isang sopistikado at hindi inaasahang pagnanakaw sa cyber. Habang ang nai-upload na malware ay talagang kumplikado, at habang ang mga empleyado ng Fazio ay nagbabahagi ng pagsisi sa pagnanakaw ng mga kredensyal sa pag-login, ang katotohanan ay nananatiling ang alinman sa kundisyon ay maaring i-rote kung ang Target ay sumunod sa mga alituntunin ng seguridad at pinagsama ang network nito upang mapanatili ang pag-iisa ng mga server mula sa mga network na nagbibigay-daan sa medyo malawak na pag-access.
Si Jody Brazil, tagapagtatag at CTO ng security firm na FireMon, ay ipinaliwanag sa Computerworld , "Walang magawa. Pinili ng target na pahintulutan ang pag-access ng third party sa network nito, ngunit nabigong maayos na ma-secure ang pag-access na iyon. "
Kung ang ibang mga kumpanya ay nabibigo na matuto mula sa mga pagkakamali ng Target, ang mga mamimili ay maaaring asahan kahit na mas maraming mga paglabag na masusunod. Si Stephen Boyer, CTO at co-founder ng management management firm na BitSight, ay ipinaliwanag, "Sa ngayon sa hyper-networked na mundo, ang mga kumpanya ay nagtatrabaho nang mas maraming mga kasosyo sa negosyo na may mga pag-andar tulad ng koleksyon ng koleksyon at pagproseso, pagmamanupaktura, IT, at mga mapagkukunan ng tao. Nahanap ng mga hacker ang pinakamahina na pagpasok upang makakuha ng access sa sensitibong impormasyon, at madalas na ang puntong iyon ay nasa loob ng ekosistema ng biktima. "
Ang target ay hindi pa natagpuan na lumabag sa mga pamantayan sa seguridad ng pagbabayad sa industriya ng pagbabayad (PCI) bilang resulta ng paglabag, ngunit nahulaan ng ilang mga analyst ang problema sa hinaharap ng kumpanya. Bagaman inirerekumenda nang husto, ang mga pamantayang PCI ay hindi nangangailangan ng mga organisasyon na i-segment ang kanilang mga network sa pagitan ng mga pag-andar ng pagbabayad at hindi pagbabayad, ngunit may natitirang katanungan kung ang pag-access sa ikatlong partido ng Target ay ginamit ang dalawang-factor na pagpapatunay, na isang kinakailangan. Ang mga paglabag sa mga pamantayan sa PCI ay maaaring magresulta sa malaking multa, at sinabi ng analista ng Gartner na si Avivah Litan kay G. Krebs na ang kumpanya ay maaaring makarusa ng mga parusa ng hanggang sa $ 420 milyon sa paglabag.
Sinimulan din ng pamahalaan na kumilos bilang tugon sa paglabag. Inirerekomenda ng pamamahala ng Obama sa linggong ito ang pag-ampon ng mas mahirap na mga batas sa seguridad ng cyber-security, na nagdadala ng kapwa mas masamang parusa para sa mga nagkasala at pati na rin ang mga pederal na kinakailangan para sa mga kumpanya na abisuhan ang mga paglabag sa seguridad at sundin ang ilang mga minimum na kasanayan pagdating sa mga patakaran ng cyber data.
