ตามเอกสารของศาล

ผู้ค้าปลีกและ บริษัท บัตรเครดิตหลายหมื่นล้านดอลลาร์

สมาชิกของ ID theft conspiracy ใช้เทคนิคที่เรียกว่า Wardriving เพื่อหาช่องโหว่ในเครือข่ายไร้สายที่ดำเนินการโดยร้านค้าปลีก เมื่ออยู่ภายในเครือข่ายโจรที่ตั้งอยู่และขโมยข้อมูลการทำธุรกรรมของบัตรเครดิตที่จัดเก็บอยู่ในเครือข่ายของผู้ค้าปลีกตามเอกสารของศาล

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

โจรที่ติดตั้งไว้ด้วยเช่นกัน เรียกเก็บซอฟท์แวร์ sniffer เพื่อตรวจจับรหัสผ่านและข้อมูลบัญชีในเครือข่ายของร้านค้าและใช้การโจมตีทางอินเทอร์เน็ตรวมทั้งการโจมตีด้วยการฉีด SQL เพื่อเข้าถึงฐานข้อมูลบัตรเครดิต

กลุ่มโจรกรรมข้อมูลทางการเงินได้จัดเก็บหมายเลขบัตรเครดิตที่จับได้ บนเซิร์ฟเวอร์ที่ถูกบุกรุกในสหรัฐฯลัตเวียและยูเครนตามเอกสารของศาล โจรจึงเข้ารหัสตัวเลขบัตรเครดิตในเซิร์ฟเวอร์เหล่านั้นตามเอกสารการฟ้องร้องของอัลเบิร์ตกอนซาเลซผู้ถูกกล่าวหาว่าหัวรุนแรงของโครงการลักขโมย IDC

อนซาเลซแห่งไมอามีถูกฟ้องในวันอังคารที่ศาลแขวงสหรัฐในเขตแมสซาชูเซตส์ ในข้อหาหลอกลวงทางคอมพิวเตอร์การฉ้อโกงการฉ้อโกงการเข้าถึงอุปกรณ์การขโมยข้อมูลส่วนบุคคลและการสมรู้ร่วมคิดที่ทวีความรุนแรงขึ้น จำเลยอื่นถูกฟ้องหรือถูกตั้งข้อหาก่ออาชญากรรมในสิ่งที่เชื่อกันว่าเป็นการขโมยข้อมูลประจำตัวที่ใหญ่ที่สุดและการสืบสวนการลักลอบใช้คอมพิวเตอร์ในประวัติศาสตร์ของกระทรวงยุติธรรมสหรัฐฯ DOJ ประกาศในวันอังคาร

เอกสารการฟ้องร้องสำหรับกอนซาเลซที่กำลังทำงานอยู่ เป็นผู้แจ้งข้อมูลให้กับหน่วยสืบราชการลับของสหรัฐฯในขณะที่ถูกกล่าวหาว่ามีส่วนร่วมในโครงการนี้ทำให้กระจ่างขึ้นเกี่ยวกับการโจรกรรมข้อมูลประจำตัว ขโมยสามารถเข้ารหัสข้อมูลบัตรเครดิตในบัตรเปล่าที่ใช้เพื่อให้ได้เงินหลายหมื่นดอลลาร์จากเครื่องเงินสดในการเข้าชมครั้งเดียวเอกสารของศาลกล่าวว่า

ระหว่างการโจมตีรายละเอียดในเอกสารของศาล:

- ในปี พ.ศ. 2546 กอนซาเลซและคนอื่น ๆ พบจุดเชื่อมต่อไร้สายที่ไม่มีการเข้ารหัสที่ร้าน BJ's Wholesale Club BJ รายงานว่ามีการละเมิดเครือข่ายคอมพิวเตอร์ในช่วงต้นปี 2547

- ในปี 2547 สมาชิกคนอื่น ๆ ของบัตรประนีประนอมได้ละเมิดจุดเชื่อมต่อไร้สาย OfficeMax ในไมอามีและสามารถขโมยข้อมูลบัตรเครดิตได้ หลังจากเจ้าหน้าที่บังคับใช้กฎหมายในปี 2549 ระบุว่า OfficeMax เป็นเหยื่อของการละเมิดข้อมูล บริษัท กล่าวว่า บริษัท ได้ว่าจ้างผู้สอบบัญชีภายนอกเพื่อดำเนินการตรวจสอบและไม่พบหลักฐานการละเมิดความปลอดภัย โฆษกของ OfficeMax ไม่ได้ส่งข้อความค้นหาความคิดเห็นในทันที

- ในเดือนกรกฎาคมกันยายนและพฤศจิกายนปี 2548 สมาชิกที่ถูกโจรกรรมข้อมูลประจำตัวสมาชิกคริสโตเฟอร์สกอตต์ได้ขโมยจุดรับสัญญาณไร้สายสองจุดที่ดำเนินการโดย TJX ที่แผนกของ Marshalls ในเมืองไมอามี Scott ใช้การเข้าถึงคำสั่งคอมพิวเตอร์ของเขาซ้ำ ๆ ไปยังเซิร์ฟเวอร์ของ TJX ที่จัดเก็บข้อมูลบัตรเครดิตใน Framingham รัฐ Massachusetts TJX ซึ่งเป็นเจ้าของ TJ Maxx HomeGoods และร้านค้าปลีกอื่น ๆ รายงานการละเมิดข้อมูลในเดือนมกราคม 2550

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าวว่า บริษัท ที่กังวลเกี่ยวกับการเป็นเหยื่อสามารถเรียนรู้จากการโจมตีได้ บริษัท จัดเก็บข้อมูลส่วนบุคคลจำเป็นต้องใช้วิธีการที่ครบถ้วนเพื่อความปลอดภัยของข้อมูลรวมทั้งการเข้ารหัสข้อมูลบัตรเครดิตการแจ้งเตือนเกี่ยวกับพฤติกรรมที่น่าสงสัยภายในเครือข่ายและข้อ จำกัด ในการเข้าถึงข้อมูลผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่า บริษัท ต่างๆควรติดตั้งซอฟต์แวร์แพทช์ ได้อย่างรวดเร็วและตรวจสอบให้แน่ใจว่าพวกเขารู้ว่าข้อมูลที่สำคัญอยู่ในเครือข่ายของพวกเขา Ted Julian รองประธานฝ่ายกลยุทธ์และการตลาดของผู้ให้บริการรักษาความปลอดภัยคอมพิวเตอร์ Application Security กล่าว หลาย บริษัท ไม่ทราบว่าข้อมูลสำคัญใด ๆ ของพวกเขาถูกจัดเก็บไว้เนื่องจากการหมุนเวียนของพนักงานไอทีและปัจจัยอื่น ๆ เขากล่าวว่า

Sam Curry รองประธานฝ่ายการจัดการผลิตภัณฑ์ของ RSA ผู้ขายความปลอดภัยทางโลกกล่าวว่าการโจมตีมีการเปลี่ยนแปลงในช่วงไม่กี่ปีที่ผ่านมาโดยมีการจัดแคมเปญที่ตรงเป้าหมายมากขึ้น Julian กล่าวว่า แฮกเกอร์สนใจมากขึ้นและพวกเขาจะลองประตู 38 ประตูพวกเขาจะลองประตู 100 ประตู "เขากล่าว "ทันทีที่พวกเขาพบคนที่ปลดล็อกพวกเขากำลังเดินทางไปยังฐานข้อมูลผมไม่ทราบว่าคนไอทีส่วนใหญ่มีงบประมาณจำนวน 10 ล้านเหรียญเพื่อสร้างมาตรการรักษาความปลอดภัยใหม่ ๆ Graham Cluley, ที่ปรึกษาด้านเทคโนโลยีระดับสูงของ Sophos, ผู้จัดจำหน่ายด้านความปลอดภัยทางอินเทอร์เน็ตรายอื่นกล่าวว่า

บริษัท ต่างๆต้องใส่ใจในเรื่องการป้องกันปริมณฑลมากเกินไปแล้ว

บริษัท ควรตรวจสอบว่าข้อมูลที่เก็บนั้นจำเป็นหรือไม่และระยะเวลาที่เก็บข้อมูลไว้ เกี่ยวกับการปกป้องข้อมูลภายในเครือข่ายของพวกเขาแกงพูด ผู้ค้าปลีกและ บริษัท อื่น ๆ จำเป็นต้อง "ตื่นขึ้นและใช้ความรุนแรงเหล่านี้อย่างจริงจัง" แกงกล่าว "ทำให้ค่าใช้จ่ายแก่คนเลวร้ายเกินไปสำหรับพวกเขาที่จะทำอย่างนั้น"

ข้อกล่าวหาที่ประกาศเมื่อวันอังคารนี้อาจสร้างความตระหนักเกี่ยวกับความปลอดภัยในโลกไซเบอร์แกร์รี่กล่าวเสริม และความเชื่อมั่นที่มีรายละเอียดสูงบางอย่างอาจเป็นตัวยับยั้งอาชญากรได้

แต่ Curry และ Cluley ปฏิเสธที่จะชี้นิ้วไปที่ร้านค้าปลีกที่มีระบบถูกบุกรุก ในขณะที่ลูกค้าของ บริษัท จำเป็นต้องกดดันให้พวกเขาปรับปรุงแนวทางด้านความปลอดภัย บริษัท ต่างๆก็ตกเป็นเหยื่อด้วยเช่นกัน Cluley กล่าวว่า "มันจะผิดพลาดที่จะเอาชนะ บริษัท ได้มากเกินไป" Cluley กล่าว "บริษัท ที่แข่งขันกันไม่ควรรู้สึกเหงามากเกินไปเพราะมีกี่คนที่สามารถใส่ใจในหัวใจของพวกเขาและพูดว่า" สิ่งนี้ไม่สามารถเกิดขึ้นได้ภายในองค์กรของเรา? ""

คณะกรรมาธิการการค้าของรัฐบาลกลางสหรัฐฯ กับ DSJ ซึ่งเป็นกลุ่มค้าปลีกรองเท้าที่ถูกจับกุมโดย ID theft ring ซึ่งรายงานว่ามีการละเมิดข้อมูลในเดือนมีนาคม พ.ศ. 2548 DSW รายงานว่ามีจำนวนบัตรเครดิตกว่า 1.4 ล้านหมายเลขและการสูญเสียอยู่ระหว่าง 6.5 ล้านเหรียญสหรัฐถึง 9.5 ล้านเหรียญ

ช่วงกลางปีพ. ศ. 2548 BJ รายงานการเรียกร้องค่าเสียหายจำนวน 13 ล้านดอลลาร์ที่เกี่ยวข้องกับการละเมิดข้อมูล เกี่ยวกับบัตรเครดิตจำนวน 455,000 รายถูกถ่ายในช่องโหว่ของ TJX ตาม FTC

FTC กล่าวหาว่าสามร้านค้าปลีกไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันการโจมตี

FTC ประกาศยุติข้อตกลงกับ BJ ใน มิถุนายน 2548 กำหนดให้ บริษัท ต้องใช้โปรแกรมรักษาความปลอดภัยข้อมูลที่ครบถ้วนและได้รับการตรวจสอบโดยผู้เชี่ยวชาญด้านความปลอดภัยบุคคลที่สามอิสระทุกๆปีเป็นเวลา 20 ปี เอเจนซี่ประกาศการชำระบัญชี DSW ในเดือนธันวาคม 2548 และ TJX ในเดือนมีนาคมปีนี้

FTC ไม่ได้ยื่นเรื่องร้องเรียนต่ออีก 6 บริษัท ที่ระบุว่าเป็นเหยื่อการละเมิดข้อมูลโดย DOJ เจ้าหน้าที่ของ FTC กล่าวว่าเธอไม่สามารถแสดงความคิดเห็นเกี่ยวกับข้อร้องเรียนที่เป็นไปได้กับ บริษัท เหล่านั้นเนื่องจาก FTC ไม่ได้ให้ความเห็นเกี่ยวกับการสืบสวนอย่างต่อเนื่อง