编者按:本博客是系列文章的第二篇,旨在探讨过去十年间备受瞩目的第三方相关数据泄露事件的成因与影响。敬请持续关注《风险登记册》博客,获取该系列后续内容!
2013年,攻击者利用第三方供应商的访问权限入侵Target公司网络,窃取敏感客户信息。本文将回顾Target数据泄露事件的背景、攻击者采用的手段、数据流向、事件对Target的影响,以及当今第三方风险管理从业者仍可从中汲取的教训。
数据泄露背景
在2013年假日购物季期间,黑客入侵了塔吉特百货的网络系统,导致7000万顾客的账户信息遭泄露。黑客窃取的数据包括全名、电话号码、电子邮箱地址、支付卡号及信用卡验证码——堪称个人身份信息的终极圣杯!
所用方法
攻击者通过针对塔吉特第三方暖通空调公司Fazio Mechanical Services的鱼叉式网络钓鱼攻击窃取用户凭证。随后黑客利用这些被盗凭证入侵塔吉特企业网络,并在其销售点终端设备上植入恶意软件。该恶意软件于2013年11月至12月期间持续收集敏感客户数据。
数据发生了什么?
被盗的信用卡信息后来在暗网被发现正在出售。然而,尚不清楚卖家是否就是犯罪行为的实施者。
数据泄露事件如何影响了塔吉特公司
由于数据泄露事件发生在圣诞购物季——零售业的关键时期,塔吉特公司遭受了重大财务损失。2013年第四季度,该公司利润较上年同期骤降近50%,且在泄露事件披露后的两个月内股价下跌9%。 此外,塔吉特于2015年达成1000万美元集体诉讼和解协议,并承诺向因数据泄露遭受损失的顾客提供最高1万美元的赔偿。2017年,该公司又支付了1850万美元的和解金。
此外,广泛的负面宣传损害了塔吉特公司的声誉,并引发了不必要的关注。2014年,美国司法部启动调查,立法者游说联邦监管机构审查此次数据泄露事件。同年,多个参议院委员会将该事件作为讨论数据安全潜在监管措施的议题。根据2017年和解协议,塔吉特公司被要求遵守加州司法部在《加州总检察长数据泄露报告》中公布的商业最佳实践标准。
第三方风险管理从业者能从塔吉特数据泄露事件中汲取哪些经验
尽管风险管理专业人士能从塔吉特数据泄露事件中汲取诸多教训,但该案例堪称开展深度内部控制评估的典型范例——尤其应聚焦两大领域:身份与访问管理,以及用户培训与教育。虽然评估本身并不能确保数据泄露事件不会发生,但对这些关键安全流程内部控制缺失的洞察,本可揭示后来演变为重大缺陷的隐患。
Prevalent 的独特之处在于,我们将自动化供应商评估与持续威胁监测整合于单一平台,从而实现对供应商的全方位洞察。由此获得的可视性,正是您识别、解读并缓解风险所需的关键能力。
请谨记,将关键职能外包给第三方,并不意味着风险也随之转移。风险始终由您承担,您必须相应地进行管理。若未能妥善管理,就必须做好应对集体诉讼、声誉与品牌受损以及财务损失的准备。
如需了解Prevalent如何助力贵机构建立或完善第三方风险管理计划,并掌握第三方薄弱环节的可见性,请立即联系我们。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
