“键盘记录器”后门揭零售业数据泄露疑云

　　支付卡行业安全标准(PCI)统计数据显示，今年以来攻击美国零售业网络系统的“backoff”，是一款“键盘记录器”后门木马程序，迄今已感染了1000余家美国零售商。

　　PCI委员会周三发表了一份公告，敦促零售商立即对其安全控制系统进行评估，并确保零售商的POS系统能够有效抵御“键盘记录器”这款曾用于去年零售商Target数据泄露事件的恶意软件工具。

　　公告明确指示所有涉事零售商必须及时更新杀毒软件套装，并更改默认密码和员工密码来保证关键的支付系统和应用程序的访问安全。同时，PCI委员会也敦促商家检查系统日志中异常及原因不明的活动，特别是那些涉及转移到未知位置的大型数据集。

　　PCI委员会另外还建议商家，考虑PCI许可的交互点(POI)设备如何在支付终端刷卡时能够实现加密信用卡和借记卡数据。商家还应该考虑部署点对点加密技术以确保卡内数据仍然得到有力保护，直到数据接收到一个安全的解密工具，专家指出。

　　公告反映了自此次黑客使用“键盘记录器”后门程序从POS系统窃取支付卡数据这一严重的数据泄露事件后，大众对于支付行业数据安全的日益关注，

　　事实上，此恶意软件在去年10月就已经出现，但直到本月才被检测出来。

　　美国国土安全部和美国特勤局表示，“键盘记录器”已经感染了1000多家大中小型企业的POS系统，包括美国著名的超市Target和商场Neiman Marcus。仅Target数据泄露事故中，就有超过4000万的信用卡付款数据信息遭泄漏，而Neiman Marcus则有110万信用卡的数据被窃取。

　　在上周发布的一份公报中，国土安全部和特勤局表示，他们对过去一年涉及“键盘记录器”此后门的“大数额事件”过已经做出反应。到目前为止，POS系统的七家供应商均已证实，多数客户均受到了此恶意软件的影响，公告指出。

　　国土安全部和特勤局在7月警告零售商关于Target严重数据泄露事件是源于“键盘记录器”后门，随后PCI委员会便于上周发布公告。公告警示说，攻击者还会利用常用的企业远程访问工具进入零售POS系统，并植入“键盘记录器”此恶意软件程序。

　　PCI公告已经引发了共识(+微信关注网络世界)，那就是恶意软件的传播范围比先前认为的更加广泛，独立的PCI安全顾问James Huguelet表示。

　　所有的PCI委员会公报中概述的步骤都是安全标准措施，Huguelet说。“但有时非常有必要类似这样的一记警钟提醒大家支付系统的数据处理链安全是何等重要。”

　　有趣的是，PCI委员会之前的公告总是会特别提到支付卡数据端到端的加密，Huguelet说。执行端到端的加密将完全消除付款程序链中“键盘记录器”带来的威胁，但到目前为止，零售商还没有迈出这一步。

　　Gartner分析师Avivah Litan认为，公告可能不会存在太大的意义。“伤害已经造成，PCI合规流程并未阻止这种攻击”她说。“它没有新的规则或规定，PCI公告只是试图证明‘键盘记录器’和连续发生的数据泄露事件是相关的，并且证明他们已经有了防止此类恶性事件再度发生的能力，”她说。

　　仅仅要求零售商遵守PCI合规并不足以减轻支付系统风险，Litan补充道。“PCI委员会和银行卡分支网点，银行，付款处理器都需要强有力的安全举措使支付系统更加有保障，并停止将所有责任在推卸给零售商来修补本来就有缺陷的系统。”