美超市被黑缘于支付卡标准安全性

安全专家表示，近日发生在美国连锁超市Hannaford Bros的一个安全入侵事件的起因是，黑客利用了内部系统中的一个代码漏洞。

　　上个月Hannaford Bros超市透露，入侵者攻入了它的公司网络，并窃取了大约420万客户的信用卡信息。

　　据称在顾客刷卡后在被认证的过程中，黑客设法下载该卡的信息。

　　安全公司Fortify软件的创始人兼首席科学家Brian Chess表示，在这次入侵中黑客采取的手法显示是利用了一个软件缺陷。

　　他表示，“鉴于几乎所有商店中的服务器都被入侵这样一个事实，攻击者极有可能是发现了一个普遍应用于所有商店的应用软件中的漏洞，并使用恶意软件利用了这个漏洞。”

　　Brian猜测，黑客首先攻入了这个超市的内部企业网络，然后通过简单的网络扫描来找出所有攻击目标服务器。他们然后发现在一个运行在所有机器上的软件中存在一个安全漏洞。

　　许多企业对边界网络的安全威胁防护很重视，但是对于内部系统的安全性却相对不够关注。

　　Chess补充说，在Hannaford Bros超市一案例中一件有意思的事情是，这个超市被认为是通过了支付卡行业标准，可见即时遵循了支付卡行业规则也未必保证万无一失。

　　他表示，“这个连锁超市已经通过了支付卡行业认证，但是支付卡行业对于内部系统的机器的安全问题重视不足。”

　　举个例子来说，该安全专家指出支付卡行业数据安全标准(PCI DSS)6.6条款中指出，企业必须“确保所有面向网络的应用程序对已知的攻击进行防护，措施有以下两条：委托一家专注于应用程序安全的机构来检查客户应用程序的漏洞;在面向网络的应用之前安装一个应用层防火墙。”

　　这意味着Hannaford Bros并没有违反相关规定，因为它的web应用之用于企业内部网络中。

　　Chess表示，“支付卡行业数据安全标准并非是一把安全锁，通过了它的认证并不意味着会一切都安枕无忧，它只是帮助人们避免重复犯一些过去的错误。”