פריצה למחשבי רשת הום דיפו: "הפושעים הופכים ליותר חכמים"

החקירה שמנהלת חברת הום דיפו בחשד לפריצה של האקרים מגבירה את הלחץ על קמעונאים וספקי שירותים בתחום כרטיסי האשראילחזק את האבטחה של רשתות תשלומים.

הרשת הגדולה ביותר בארה"ב בתחום ה"עשה זאת בעצמך" מסרה כי היא משתפת פעולה עם בנקים וגורמי אכיפת חוק בקשר לפרשה, זאת בעקבות דיווח של חברת KrebsOnSecurity כי מספר "עצום" של נתוני כרטיסי חיוב הועלה לרשת והועמד למכירה.

הבדיקה באה שבוע לאחר שבלומברג דיווחה כי האקרים פרצו למערכות המחשב של JPMorgan Chase & Co. ולפחות ארבעה בנקים אחרים, במתקפה משולבת. כמו כן, תמונות עירום של סלבריטאים שהשתמשו בשירות iCloud של אפל על מנת לאחסן תמונות נגנבו והועלו לרשת בימים האחרונים. האירועים הללו הדגישו את הצורך של פרטים וחברות לעבות את הסדרי האבטחה.

"הפושעים הופכים ליותר ויותר חכמים, מהר יותר מהחברות", כך אמר חיימה כץ, אנליסטית בחברת Morningstar. אם הפריצה למערכות של הום דיפו היא באותו קנה מידה כמו זו שהתרחשה בשנה שעברה ברשת Target, "אין ספק שהדבר מעורר חשש משמעותי", אמרה.

מחיר המניה של הום דיפו ירד אתמול ב-2% ועמד על 91.15 דולר. זוהי הירידה הגדולה ביותר ביום אחד בתקופה של כחמישה חודשים והיא אירעה לאחר שהחברה הודיעה כי היא בוחנת את הפריצה לכאורה.

התקרית העלתה שאלות חדשות לגבי קצב האימוץ האיטי של טכנולוגיות אבטחה מסוג " chip and PIN", שהופכת כרטיסים לבטוחים יותר, כך אמר מייקל סאטון, סגן נשיא למחקר אבטחה בחברת Zscaler, שעוסקת במחשוב ענן.

"קמעונאים רואים עתה מקרוב מדוע הטכנולוגיה הכרחית וכיצד העלויות של הטכנולוגיה מחווירות בהשוואה לעלויות הישירות והעקיפות הקשורות לפריצות מידע גדולות", כך אמר סאטון.

קוד לכל עסקה

חברות אמריקאיות אחדות לא עמדו בקצב העדכונים הדרוש של הטכנולוגיה, המוכרת גם בשם EMV - קיצור של Europay-MasterCard-Visa - החברות הראשונות שתמכו בפתרון. רשתות כרטיסי אשראי קבעו מועד סופי באוקטובר 2015 שעד אליו צריכים רוב הסוחרים בארה"ב לשדרג את מערכות התשלומים שלהם.

טכנולוגיית EMV נחשבת לבטוחה מכיוון שברוב הכרטיסים הנמצאים בשימוש בארה"ב קשה יותר להעתיק מספרי חשבון וקודי אבטחה משבבים יותר מאשר מפסים מגנטיים. כרטיסי EMV יוצרים קוד ייחודי לכל עסקה, דבר המקשה לפרוץ או לזייף אותם.

"הטכנולוגיה לא זכתה לאימוץ נרחב בארה"ב, בעיקר בגלל לובינג מצד קמעונאים המוטרדים מעלויות היישום של הטכנולוגיה", אמר סאטון.

בריאן קרבס, עיתונאי שחשף את מתקפת ההאקרים ברשת Target בשנה שעברה, אמר אתמול כי ישנן ראיות שנתוני כרטיסי האשראי שנגנבו לאחרונה קשורים לחנויות של רשת הום דיפו.

רשת הדיסקאונט Target הדגימה כמה נזק יכולה פריצת נתונים להסב לקמעונאית. האקרים התקיפו את החברה בשנה שעברה בשיא עונת הקניות של החגים, תוך פגיעה במוניטין ובמכירות של החברה.

התגובה האיטית של טארגט לתקרית החמורה גרמה גם היא לביקורת מצד מחוקקים, ובחודש מאי פיטרה החברה את המנכ"ל. בריאן קורנל, לשעבר בכיר בחברת פפסיקו שנכנס לתפקיד המנכ"ל בטארגט בחודש שעבר, מנסה עתה לתקן את הנזקים.

על פי תחקיר שערך Bloomberg Businessweek, טארגט התעלמה מהאזהרות שסיפקו כלי האיתור של האקרים שהיו ברשותה, דבר שהוביל לפריצה שחשפה 40 מיליון מספרי כרטיסי אשראי - בנוסף ל-70 מיליון כתובות, מספרי טלפון ופריטי מידע אחרים.

"הודעה מיידית ללקוחות"

במקרה של הום דיפו, ייתכן שהפריצה לכאורה התבצעה בשלהי חודש אפריל או ראשית מאי, וייתכן שהיא כוללת את כל 2,200 החנויות של החברה בארה"ב, כך אמר קרבס. אם הדברים נכונים, ייתכן שהתקרית חמורה יותר מזו של טארגט.

כמו כן, ייתכן שהמתקפה התבצעה על ידי אותה קבוצה של האקרים שחדרה למחשבי טארגט, אולי כנקמה על הסנקציות שהטילו ארה"ב ואירופה על רוסיה, כך אמר קרב.

פולה דרייק, דוברת מטעם רשת הום דיפו, אמרה אתמול כי החברה טרם קבעה שאכן בוצעה פריצה.

"אנחנו בוחנים פעילות חריגה מסוימת", כך אמרה, "בשלב זה אנחנו אוספים במרץ עובדות תוך כדי הגנה על לקוחות. אם נאשר שאכן אירעה פריצה, נוודא שתימסר הודעה מיידית על כך לכל הלקוחות".

סיטיגרופ, מנפיקת כרטיסי האשראי השלישית בגודלה בארה"ב, מסרה כי היא מגבירה את מאמצי המניעה והגילוי לנוכח הדיווח.

"אנו מנטרים את החשבונות באופן פעיל, ואם אנחנו רואים פעילות חשודה, ננקוט בצעדים הראויים, הכוללים הנפקה מחדש של כרטיסים ללקוחות", כך אמרה ג'ניס טרטר, דוברת מטעם הבנק. "אנחנו רוצים שהלקוחות שלנו ידעו שבהתאם לדרישות החוק, הם אינם אחראים לשימוש לא מורשה בחשבונות שלהם".

רשתות אחרות שסבלו מפריצות של האקרים בחודשים האחרונים כוללות את רשת המרכולים Supervalu ואת רשת המזללות בסגנון אסיאתי P.F. Chang's Cahina Bistro.