安全专家批评支付卡行业标准安全性

日期: 2008-04-06 作者:龙门鲤鱼 来源:TechTarget中国

  据安全专家表示,近日发生在美国连锁超市Hannaford Bros的一个安全入侵事件的起因是,黑客利用了内部系统中的一个代码漏洞。


  上个月Hannaford Bros超市透露,入侵者攻入了它的公司网络,并窃取了大约420万客户的信用卡信息。


  据称在顾客刷卡后在被认证的过程中,黑客设法下载该卡的信息。


  安全公司Fortify软件的创始人兼首席科学家Brian Chess表示,在这次入侵中黑客采取的手法显示是利用了一个软件缺陷。


  他表示,“鉴于几乎所有商店中的服务器都被入侵这样一个事实,攻击者极有可能是发现了一个普遍应用于所有商店的应用软件中的漏洞,并使用恶意软件利用了这个漏洞。”


  Brian猜测,黑客首先攻入了这个超市的内部企业网络,然后通过简单的网络扫描来找出所有攻击目标服务器。他们然后发现在一个运行在所有机器上的软件中存在一个安全漏洞。


  许多企业对边界网络的安全威胁防护很重视,但是对于内部系统的安全性却相对不够关注。


  Chess补充说,在Hannaford Bros超市一案例中一件有意思的事情是,这个超市被认为是通过了支付卡行业标准,可见即时遵循了支付卡行业规则也未必保证万无一失。


  他表示,“这个连锁超市已经通过了支付卡行业认证,但是支付卡行业对于内部系统的机器的安全问题重视不足。”


  举个例子来说,该安全专家指出支付卡行业数据安全标准(PCI DSS)6.6条款中指出,企业必须“确保所有面向网络的应用程序对已知的攻击进行防护,措施有以下两条:委托一家专注于应用程序安全的机构来检查客户应用程序的漏洞;在面向网络的应用之前安装一个应用层防火墙。”


  这意味着Hannaford Bros并没有违反相关规定,因为它的web应用之用于企业内部网络中。


  Chess表示,“支付卡行业数据安全标准并非是一把安全锁,通过了它的认证并不意味着会一切都安枕无忧,它只是帮助人们避免重复犯一些过去的错误。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐