流行服装零售商 Forever 21 就2017年11月份遭受的数据泄露事件证实称,2017年期间,黑客从位于美国的门店中窃取了消费者的信用卡详情。

某些 POS 系统中被安装恶意软件

尽管并未具体说明受数据泄露事件影响的消费者总数,但该公司确实证实称,在2017年4月3日至2017年11月18日期间,美国门店中的一些 POS 系统上被安装了恶意软件。从该公司目前的调查结果来看,这款恶意软件的目的是查找并可能窃取敏感的消费者信用卡数据,包括信用卡号、有效日期、验证码甚至持卡人姓名。

该公司自2015年起就一直在使用加密技术来保护支付处理系统,但在调查过程中,该公司发现一些门店中的某些 POS 终端关闭了加密技术,导致黑客安装了恶意软件。然而,Forever 21公司表示,并非所有受影响门店中的 POS 终端都遭受了恶意软件感染,而且在数据泄露期间(大概8个月),并非所有的门店均受影响。事实上,在4月3日之前存储在某些系统日志中的支付卡数据也已遭泄露。

Forever 21 公司解释称,“每个Forever 21门店都有多个 POS 设备,这种问题在多数情况下只涉及一个或几个 POS 设备。另外,Forever 21 门店设有一台机器专门记录完整的支付卡交易授权情况。当加密被关闭后,支付卡数据会存储在这个日志中。在这次事件涉及的一些门店中,恶意软件被安装在能够从日志中找到支付卡数据的设备中。因此如果 POS 设备上的加密机制是在4月3日之前关闭的而且数据还存储在这些门店中的某个日志文件中,那么恶意软件可能已经找到了这些数据。”

 

网站上的支付卡数据未受影响

Forever 21向在线消费者保证称,网站 (forever21.com) 上使用的支付卡并未受该事件影响。由于其它国家的支付处理系统运作方式不同,因此它们可能并未受该事件影响,不过Forever 21 表示正在调查非美国门店是否遭受影响。

Forever 21 建议曾在门店停留的消费者保持警惕,密切留意信用卡交易详情,如发现可疑活动则应立即通知发卡行。该公司承诺将与安全公司合作,加强自己的安全措施。这次数据泄露事件是继 Disqus 5年之久的数据泄露事件(导致1750多万用户受影响)以及雅虎30亿用户受影响的泄露事件之后,另外一起令人尴尬的事件。

最近发生的数据泄露事件包括: Equifax 1.455亿消费者遭暴露、美国证券和交易委员会披露黑客利用数据牟利、德勤律师会计事务所公布遭受网络攻击且导致客户的私人邮箱和文档遭窃取。

文章原文链接:https://www.anquanke.com/post/id/93219