-
-
安全事故启示录:回看美国零售巨头塔吉特(Target)大规模数据泄露事件
-
发表于: 2015-5-18 13:57
-
新闻链接:http://www.freebuf.com/news/67464.html
新闻时间:2015-05-16
新闻正文:
如果在起飞时控制不好发动机的动力,就很可能会造成惨烈的坠机。当我们迈向了互联网+的风口,同样也要面对一个不可回避的问题:安全事故。
丢钱又丢人:塔吉特(Target)安全事件损失惨重
2013年年底,美国零售巨头塔吉特(Target)宣布公司被黑客入侵,7000万的用户个人信息和4000万的信用卡数据被盗,涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。据估计塔吉特的损失当前已达1.48亿美元,并最终可能达到10亿美元。
美国折扣零售巨头塔吉特(Target)的客户数据泄漏事件始终是一个血淋淋的例子:
1.1亿顾客的数据失窃事件爆发之后,12%的老顾客不再去塔吉特消费,而36%的零售商减少了购货频率。而那些继续在塔吉特购物的人中有79%不再使用信用卡消费了,取而代之的是使用现金。
同时塔吉特还将向个人受害者支付最高10000美元的的损害赔偿,并将增加数据安全保护措施。对公司内部而言,因此安全事件,塔吉特辞退了时任CEO并重新任命一位首席信息安全官。
过PCI认证真的有用吗?
FreeBuf百科:PCI
此次塔吉特入侵的原因有两个:一是塔吉特(或者是他们的供应商)缺乏IT安全管理,二是他们的员工没有参加过有效的安全意识培训——因此塔吉特的案例中,才会出现供应商的一个员工点击钓鱼链接从而导致惨剧的发生。
时隔两年,现在我们再一起回顾下当年的那一幕:
然而,简单地遵守并不能保证你的网络信息安全。遵守规则应当是你的建立自己安全网络的底线。
做一个类比——你通过了PCI的检测、评估和审计,所以你是安全的。同样的你拥有驾照,那你就能保证不会发生车祸吗?
在这两种情况中,如果你不能很好的接受对应的培训,你的安全都是无法得到保障的!
没错——尽管保障顾客支付卡信息的所有技术控制都已基本到位,你还是非常需要对员工进行PCI数据安全标准的培训。
当务之急:培训员工提升安全意识
教育是获得提升的一个重要步骤,不管哪位业内人士基本都能进行网络安全意识的培训。你应当立刻制定出一个有效的培训计划,并以此为武器对抗公司在每一天面临的威胁。
新闻时间:2015-05-16
新闻正文:
如果在起飞时控制不好发动机的动力,就很可能会造成惨烈的坠机。当我们迈向了互联网+的风口,同样也要面对一个不可回避的问题:安全事故。
丢钱又丢人:塔吉特(Target)安全事件损失惨重
2013年年底,美国零售巨头塔吉特(Target)宣布公司被黑客入侵,7000万的用户个人信息和4000万的信用卡数据被盗,涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。据估计塔吉特的损失当前已达1.48亿美元,并最终可能达到10亿美元。
美国折扣零售巨头塔吉特(Target)的客户数据泄漏事件始终是一个血淋淋的例子:
1.1亿顾客的数据失窃事件爆发之后,12%的老顾客不再去塔吉特消费,而36%的零售商减少了购货频率。而那些继续在塔吉特购物的人中有79%不再使用信用卡消费了,取而代之的是使用现金。
同时塔吉特还将向个人受害者支付最高10000美元的的损害赔偿,并将增加数据安全保护措施。对公司内部而言,因此安全事件,塔吉特辞退了时任CEO并重新任命一位首席信息安全官。
过PCI认证真的有用吗?
FreeBuf百科:PCI
支付卡行业数据安全标准( PCI DSS)是一套协作的安全要求,以保护信用卡交易和持卡人数据的所有品牌。PCI遵守是强制性的任何业务,存储,处理或者传输的数据。PCI安全标准委员会是一个开放的全球论坛的不断发展、增强、储存、传播和执行安全标准的帐户数据的保护。
*
任何参与到支付卡交易中的组织都必须遵守PCI DSS。
此次塔吉特入侵的原因有两个:一是塔吉特(或者是他们的供应商)缺乏IT安全管理,二是他们的员工没有参加过有效的安全意识培训——因此塔吉特的案例中,才会出现供应商的一个员工点击钓鱼链接从而导致惨剧的发生。
时隔两年,现在我们再一起回顾下当年的那一幕:
“2013年11月,尽管塔吉特公司遵守了PCI标准,但我们的数据还是不幸被泄露了。”
然而,简单地遵守并不能保证你的网络信息安全。遵守规则应当是你的建立自己安全网络的底线。
做一个类比——你通过了PCI的检测、评估和审计,所以你是安全的。同样的你拥有驾照,那你就能保证不会发生车祸吗?
在这两种情况中,如果你不能很好的接受对应的培训,你的安全都是无法得到保障的!
没错——尽管保障顾客支付卡信息的所有技术控制都已基本到位,你还是非常需要对员工进行PCI数据安全标准的培训。
当务之急:培训员工提升安全意识
教育是获得提升的一个重要步骤,不管哪位业内人士基本都能进行网络安全意识的培训。你应当立刻制定出一个有效的培训计划,并以此为武器对抗公司在每一天面临的威胁。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
