Rede de varejo dos EUA sofreu ataque que resultou mais 40 milhões de dados de cartões de créditos roubados

scanner-vulnerabilidades-webPor Ricardo Salvatore

Uma das maiores redes de varejo dos EUA, o Target, sofreu um ataque que  resultou no furto de dados de mais de 40 milhões de cartões de crédito. As  informações  existentes até o momento indicam que o ataque aconteceu por meio  do acesso  remoto de um fornecedor de serviços de manutenção de  ar-condicionado. Segundo  algumas fontes citadas pelo  blog http://krebsonsecurity.com/ é comum as redes de  varejo dos EUA  monitorarem remotamente a temperatura do ar-condicionado das  lojas para  mantê-la em um nível agradável e, muitas vezes, isto é feito por empresas   terceirizadas, por medida de economia.

Não está claro, ainda, se o ataque ocorreu através deste tipo de acesso citado anteriormente. O que se sabe até o momento é que os atacantes conseguiram, a partir deste primeiro acesso, instalar um software malicioso diretamente nos pontos de venda das lojas da empresa e coletar – online – os dados das transações com cartões de crédito. Esta coleta ocorreu exatamente no período de maior movimento do comércio nos EUA, entre o feriado de Thanks-Giving (27 de Novembro), com a famosa Black-Friday, e o início das compras de Natal (15 de Dezembro), quando o vazamento foi descoberto.

O rastreamento aos ataques, que está envolvendo as autoridades de segurança americanas, indicou que dados foram transmitidos para servidores na Rússia, nos EUA e aqui no Brasil. É estimado um prejuízo de mais de 420 milhões de dólares para o Target com restituições a consumidores, custos de emissão de novos cartões de crédito e possíveis multas por não cumprimento do padrão PCI. O padrão PCI exige que as redes de pagamento e manutenção sejam segregadas e que exista autenticação em 2 fatores para acessos remotos. O possível descumprimento do padrão PCI ainda está sendo avaliado.

Fontes: