Target sagt 40 Millionen Kredit, Debitkarten könnten bei Sicherheitsverletzungen kompromittiert worden sein

Hacker erhielten Zugang zu bis zu 40 Millionen Kredit- und Debitkarten, die von Kunden von Target während des Höhepunkts der Weihnachtseinkaufssaison verwendet wurden, berichtete das Unternehmen am Donnerstag in einer der größten Datenschutzverletzungen in der Geschichte.

Beamte des Unternehmens gaben nur wenige Details zu dem Einbruch bekannt, der Berichten zufolge am Tag vor Thanksgiving begann und diese Woche bis Sonntag dauerte. Sicherheitsexperten sagten, dass gestohlene Informationen – einschließlich Namen, Kartennummern, Ablaufdaten und dreistellige Sicherheitscodes – Kriminellen fast überall auf der Welt ermöglichen könnten, betrügerische Einkäufe zu tätigen.

Die Sicherheitsverletzung hat Schwachstellen in den riesigen, miteinander verbundenen Einkaufssystemen aufgezeigt, die täglich für Milliarden von Dollar an Einzelhandelstransaktionen verwendet werden. Kunden in den fast 1.800 Geschäften von Target in den USA waren potenziell betroffen, diejenigen, die online einkauften, jedoch nicht, teilte das Unternehmen mit.

Verbraucher werden im Allgemeinen nicht für Käufe verantwortlich gemacht, die sie nicht autorisiert haben, aber das Gerangel, kompromittierte Karten zu stornieren und Ersatz auszustellen, droht zu Störungen zu führen, da die Käufer in die letzten Tage der lukrativsten Saison im Einzelhandelskalender eintreten.

Der Secret Service, der Finanzbetrug untersucht, untersucht den Einbruch. Größere Verstöße in der Vergangenheit wurden von Bundes- und Landesbeamten überprüft und in einigen Fällen mit Geldbußen belegt, wenn sie feststellten, dass Unternehmen private Kundeninformationen nicht angemessen schützen.

'Was auch immer Target dachte, dass sie während der Ferienzeit bekommen würden, es wurde einfach die Toilette für Datenschutzverletzungen hinuntergespült', sagte John Kindervag, Analyst und Datensicherheitsexperte bei Forrester, einem Forschungsunternehmen. Er schätzte, dass Target mindestens 100 Millionen US-Dollar ausgeben muss, um die Anwaltskosten zu decken und zu beheben, was schief gelaufen ist.



Kindervag sagte, das Unternehmen werde Kartenmarken wie Visa und American Express Geld schulden, die Kunden für betrügerische Transaktionen entschädigen müssen. Auch Target mit Sitz in Minneapolis und einer der größten Einzelhändler des Landes ist laut Analysten und Verbraucherschützern dem Risiko ausgesetzt, seinen Ruf nachhaltig zu schädigen. Die Aktien des Unternehmens verloren an einem allgemein flachen Tag an der Wall Street mehr als 2 Prozent.

„Sie möchten, dass die Leute Ihren Produkten vertrauen“, sagte Ed Mierzwinski, Consumer Program Director für die USA. PIRG, eine in Boston ansässige Verbrauchergruppe. 'Das Ziel hat offensichtlich ein großes Problem, und sie müssen etwas dagegen tun.'

Der Journalist Brian Krebs, der die Krebs im Sicherheitsblog Er meldete den Verstoß erstmals am Mittwochnachmittag. Target bestätigte dies am Donnerstagmorgen mit einer kurzen Erklärung, in der der Zeitpunkt des Eindringens und die Art der verlorenen Daten beschrieben wurden.

„Die oberste Priorität von Target besteht darin, das Vertrauen unserer Gäste zu bewahren, und wir haben uns schnell um dieses Problem gekümmert, damit die Gäste mit Zuversicht einkaufen können. Wir bedauern alle Unannehmlichkeiten, die dadurch entstehen können“, sagte Gregg Steinhafel, CEO von Target, in dieser Erklärung. 'Wir nehmen diese Angelegenheit sehr ernst und arbeiten mit den Strafverfolgungsbehörden zusammen, um die Verantwortlichen vor Gericht zu bringen.'

Target sagte, es habe Strafverfolgungsbehörden und Finanzinstitute benachrichtigt, nachdem es den Verstoß entdeckt hatte. Das Unternehmen sagte, es habe auch eine externe Forensikfirma beauftragt, den Vorfall zu untersuchen und seine Systeme zu stärken.

Das Unternehmen lehnte es ab, sich dazu zu äußern, wie es zu dem Eindringen kam, als es erfuhr, dass es stattgefunden hatte und welche Art von Verschlüsselung gegebenenfalls zum Schutz der Verbraucherdaten verwendet wird. „In Bezug auf die allgemeinen Praktiken stellen wir kontinuierlich und weiterhin sicher, dass unsere Informationen geschützt sind“, sagte Target-Sprecherin Molly Snyder.

Externe Sicherheitsexperten sagten, dass die Informationen, die Target als gestohlen gemeldet hat, auf den Magnetstreifen von Debit- und Kreditkarten enthalten sind und verwendet werden könnten, um betrügerische neue Karten zu erstellen.

Die Bezahlsysteme im modernen Einzelhandel sind weit verbreitet, unzählige Kartenleser in den einzelnen Filialen sammeln Daten, übertragen sie in interne Unternehmensnetzwerke und kommunizieren mit Banken, bevor sie Käufe freigeben. Hacker könnten potenziell an jeder Stelle des Systems Schwachstellen finden.

Das massive Ausmaß des Verstoßes deutet darauf hin, dass Hacker tief in die Unternehmensnetzwerke von Target vorgedrungen sind, anstatt auf die Systeme einzelner Geschäfte zuzugreifen. Wenn Kriminelle auch PIN-Codes für Debitkarten erhielten, könnten sie verwendet werden, um Bargeld direkt von den Bankkonten der Benutzer abzuheben, sagten Experten.

Target sagte, es gebe keine Hinweise darauf, dass bei der Datenpanne PIN-Nummern genommen wurden.

„Es ist ein Wettrüsten. Und die Gauner haben fast immer die Nase vorn“, sagte Beth Givens, Gründerin der gemeinnützigen Verbraucherschutzgruppe Privacy Rights Clearinghouse, die Datenschutzverletzungen verfolgt. 'Die Betrugsermittler und die Strafverfolgungsbehörden sind fast ständig im Aufholmodus.'

Der Target-Verstoß sei der drittgrößte, der jemals gemeldet wurde, sagte Givens. Die größte bisher verzeichnete war Heartland Payment Systems, das 2009 enthüllte, dass rund 130 Millionen Kredit- und Debitkarten aufgedeckt wurden. Der zweitgrößte Angriff traf TJX Companies, die Muttergesellschaft von TJMaxx und Marshall’s, die 2007 mitteilten, dass etwa 45 Millionen Kreditkarten und Debitkarten kompromittiert worden seien. Der Einzelhandelsriese verhandelte später mit Visa eine Einigung in Höhe von 40,9 Millionen US-Dollar über den Vorfall. Die TJX-Daten wurden Berichten zufolge von Kriminellen gestohlen, die sich über die drahtlosen Netzwerke einzelner Geschäfte Zugang zu Zahlungssystemen verschafften.

„Die Realität ist, dass dies auf 16 verschiedene Arten geschehen könnte“, sagte Krebs, der weitere Datenschutzverletzungen vorhersagte, da viele Einzelhandelsgeschäfte ähnliche Zahlungssysteme betreiben. „Diese Jungs sind wirklich schlau und haben eine Schwachstelle gefunden.“

Avivah Litan, Analyst bei Gartner, sagte, dass der Target-Fall aufgrund seines Ausmaßes ungewöhnlich sei und weil das Unternehmen stark in die Sicherheit investiert habe, im Bewusstsein, dass seine Größe ihn für Kriminelle attraktiv mache. Dennoch stellte sie fest, dass Low-Tech-Methoden von einem abtrünnigen Mitarbeiter innerhalb des Unternehmens mit Zugriff auf die richtigen Systeme verwendet werden könnten.

'Es ist vielleicht nicht anspruchsvoll', sagte Litan. 'Es könnte sein, dass sie einfach nicht die grundlegenden Kontrollen hatten.'

Die Zahl der schwerwiegenden Datenschutzverletzungen scheint zu steigen. In diesem Monat gab JPMorgan Chase bekannt, dass 465.000 Daten seiner Kartenbenutzer nach einem Angriff auf die Website seiner Prepaid-Karte gestohlen wurden.

Der Zeitpunkt des Angriffs auf Target erhöhte den Einsatz für Kunden, das Unternehmen und die Banken, die die Kredit- und Debitkarten ausgegeben haben – und müssen nun die Überwachung auf betrügerische Transaktionen verstärken.

„Dies geschieht mitten in der kritischsten Einkaufssaison des Jahres“, sagte Carol Spieckerman, Präsidentin des Einzelhandelsberatungsunternehmens newmarketbuilders. 'Es besteht eine sehr reale Möglichkeit, dass sich die Leute in Anbetracht dessen von Target fernhalten.'

Noch beunruhigender für Target, sagte Spieckerman, sei, dass das Online-Geschäft des Unternehmens bereits versucht habe, gegenüber Online-Konkurrenten Boden gut zu machen. Auch wenn der Datenschutzverstoß in traditionellen Geschäften aufgetreten zu sein scheint, könnten die Nachrichten den Verkauf auf den Websites des Unternehmens möglicherweise verlangsamen, wenn die Kunden verunsichert werden, sagte sie.

„Leider wird es auch das Sicherheitsempfinden und das Vertrauen der Kunden in einen digitalen Raum beeinträchtigen“, sagt Spieckerman. 'Sie haben eine beeindruckende Aufholjagd gespielt, aber das haben sie sicherlich nicht gebraucht.'

Abha Bhattarai hat zu diesem Bericht beigetragen.