ID-stöldring attackerade återförsäljare på flera nivåer

En ring av identitetstjuvar som riktade amerikanska återförsäljare använde sofistikerade och mångfacetterade attacker för att stjäla mer än 40 miljoner kredit- och betalkortnummer från TJX, OfficeMax, Barnes & Noble och andra företag, enligt domstolsdokument.

Anfallen kostade återförsäljare och kreditkortsföretag tiotals miljoner dollar.

Medlemmar av ID-stöldkonspirationen använde så kallade wardriving-tekniker för att hitta hål i trådlösa nätverk som drivs av butiker. En gång inuti nätverken placerade tjuvarna och stalde kreditkorts transaktionsinformation lagrad på återförsäljarens nätverk enligt domstolsdokument.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Tjuvarna installerades också så -kallad snifferprogramvara för att fånga lösenord och kontodata i butiksnäten, och de använde internetbaserade attacker, inklusive SQL-injektionsattacker, för att få tillgång till kreditkortsdatabaser.

ID-stöldgruppen lagrade de infångade kreditkortsnummeren på kompromitterade servrar i USA, Lettland och Ukraina, enligt domstolsdokument. Tjuvarna krypterade sedan kreditkortsnumren på de här servrarna enligt Albert Gonzalez anklagelsesdokument, den påstådda ledaren för ID-stöldschemat.

Gonzalez, Miami, anklagades tisdag i US District Court för distriktet Massachusetts på grund av datorbedrägerier, trådbedrägeri, bedrägeri på accessenheter, förvärrad identitetsstöld och konspiration. Tio andra tilltalade har blivit åtalade eller begått brott med vad som tros vara den största ID-stölden och datorhackningsundersökningen i det amerikanska justitiedepartementets historia, meddelade DOJ tisdagen.

Åtalet för Gonzalez, som arbetade som informatör för den amerikanska sekretstjänsten, som påstås ha engagerat sig i systemet, skyller lite på ID-stöldoperationen. Tjuvarna kunde koda kreditkortsinformation på tomma kort som användes för att erhålla tiotusentals dollar från kontanter i enskilda besök, säger domstolsdokumentet.

Bland de attacker som beskrivs i domstolsdokumentet:

- - I ca 2003 hittade Gonzalez och andra en okrypterad trådlös åtkomstpunkt vid en BJs Wholesale Club-butik. BJs anmälde ett brott mot sina datanätverk i början av 2004.

- Andra medlemmar av ID-stöldringen äventyrade 2004 en Wireless Access Point i Miami, och de kunde ställa kreditkortsdata. Efter att brottsbekämpande tjänstemän 2006 identifierade OfficeMax som offer för en överträdelse av uppgifter, sa företaget att det hyrde en extern revisor för att utföra en utredning och inte fann några bevis på ett säkerhetsbrott. En talesman från OfficeMax lämnade inte omedelbart ett meddelande som sökte kommentarer.

- I juli, september och november 2005 komprometterade den påstådda ID-stöldringmedlem Christopher Scott två trådlösa åtkomstpunkter som drivs av TJX vid Marshalls avdelningshistorier i Miami. Scott använde sin möjlighet att upprepade gånger sända datorkommandon till TJXs servrar som lagrade kreditkortsinformation i Framingham, Massachusetts. TJX, som även äger TJ Maxx, HomeGoods och andra butiker, rapporterade dataskydd i januari 2007.

Cybersecurity-experter sa att företag oroade sig för att vara offer kan lära sig av attackerna. Företag som lagar personlig information måste ta ett omfattande tillvägagångssätt för datasäkerhet, inklusive kryptering av kreditkortsdatabaser, anmälningar om misstänkt beteende i sina nätverk och begränsningar för vem som kan komma åt uppgifterna, säger säkerhetsexperter.

Företag bör också installera programvarupatcher snabbt och se till att de vet var känsliga data finns på sina nätverk, tillade Ted Julian, vice vd för strategi och marknadsföring för datasäkerhetsleverantör Application Security. Många företag vet inte var alla känsliga uppgifter lagras på grund av IT-arbetarnas omsättning och andra faktorer, säger han.

Företagen måste också analysera sina risker och ta ett målinriktade sätt att lösa problem, säger Sam Curry, vice vd för produkthantering hos internetleverantör RSA.

Angreppen har förändrats de senaste åren, med mer organiserade, riktade kampanjer, säger Julian. "Hackarna är mycket mer fokuserade, och de ska försöka 38 dörrar, de ska försöka 100 dörrar," sa han. "Så snart de hittar den som är upplåst, är de på väg till databasen. Jag vet inte att många [IT] människor får 10 miljoner dollar i sin budget för att räkna ut en massa nya säkerhetsåtgärder. "

Företag bör också undersöka om de data de lagrar behövs och hur länge de håller data, säger Graham Cluley, senior teknikkonsult vid Sophos, en annan leverantör av cyberförsörjning.

Företag har för länge fokuserat på omkretsförsvar och inte om att skydda data inom sina nätverk, sa Curry. Återförsäljare och andra företag måste "vakna och ta dessa hot på allvar," sa Curry. "Gör kostnaden för de dåliga killarna för högt för att de ska göra det."

Anklagelserna meddelade tisdag kunde öka medvetenheten om cybersäkerhet, tillade Curry. Och vissa högprofila fällanden kan fungera som avskräckande för brottslingar. Men Curry och Cluley nekade att peka fingrarna hos återförsäljarna vars system äventyras. Även om företagens kunder måste lägga påtryck på dem för att förbättra säkerhetspraxis, är företagen också offer, sade Cluley. "Det skulle vara fel att slå företagen för mycket," sade Cluley. "Konkurrerande företag borde inte känna sig alltför luriga, för hur många av dem kan lägga sina händer på sina hjärtan och säga," det kan aldrig hända inom vår organisation? ""

US Federal Trade Commission lämnade dock klagomål mot TJX, BJs Wholesale och DSW, en skohandelsskedja riktad mot ID-stöldringen som rapporterade en dataöverträdelse i mars 2005. DSW rapporterade att mer än 1,4 miljoner kreditkortsnummer var äventyras och förluster varierade från 6,5 miljoner US-dollar till 9,5 miljoner US-dollar.

Från och med mitten av 2005 rapporterade BJ utestående fordringar på 13 miljoner dollar relaterade till dataskyddet. Omkring 455 000 kreditkortsnummer togs i TJX-överträdelserna, enligt FTC.

FTC hävdade att de tre återförsäljarna inte vidtog lämpliga säkerhetsåtgärder för att skydda mot attackerna.

FTC tillkännagav en avveckling med BJs i Juni 2005 som kräver att företaget ska genomföra ett omfattande informationssäkerhetsprogram och få revisioner av en oberoende tredjeparts säkerhetspersonal vartannat år i 20 år. Byrån tillkännagav liknande arrangemang med DSW i december 2005 och TJX i mars i år.

FTC har inte lämnat in klagomål mot sex andra företag som identifierats som dödsoffer för brottsoffer av DOJ. Dessa företag är Dave och Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority och Forever 21. En FTC-tjänsteman sa att hon inte kunde kommentera eventuella klagomål mot dessa företag eftersom FTC inte kommenterar pågående utredningar.