TJX公司数据泄漏事件的安全教训

这个事情对于美国零售业巨头TJX公司来说是最糟糕的。这家公司的信用卡支付系统在1月份被黑客突破就够糟糕的了。后来，TJX在3月底提交给美国证券交易委员会的Form 10-K文件披露称，一共有465万信用卡号码被盗窃，从而使这起事件成为迄今为止最大的一起数据突破事件。

　　评估这篇10-K文件和一些媒体的报道，人们发现在处理信用卡数据的基本安全方面存在一些巨大的漏洞以及没有遵守行业标准的情况。根据数据突破的规模和类型推测，这个事件可能是内部人员所为。无论怎样，如果更严格地遵守接入管理的一些基本原则和更严密地审计遵守法规的标准，特别是遵守支付卡行业数据安全标准，这种数据突破事件就不会发生了。有12项基本要求的支付卡行业数据安全标准并不完善。但是，它提供了保证卡安全操作的一个简单的路线图。在本期应用技巧中，我们将检查一下其它机构能够从TJX的错误中学到什么。

　　数据太多，保留时间太长

　　首先，TJX在交易记录和客户信息完成商业目的之后不安全地存储了这些数据，违反了支付卡行业数据安全标准的第三项要求。这项要求规定保护存储的卡持有者的数据。据10-K文件称, TJX仍然不知道什么客户数据被盗窃的整个情况。这个原因有一部分是因为有些被盗窃的数据在后来正常的商务活动中被删除了。另一个原因是入侵者使用的技术没有留下痕迹，使人们不可能发现可能被盗窃的其它数据。

　　但是，这个10-K文件称，在2005年被盗窃的数据可能相当于从2002年12月31日至2004年6月28日期间在美国、 波多黎各和加拿大的商店全部交易量的一半。这些数据存储在该公司在纳萨诸塞州Framingham的设施中。这个标准的第3.1项要求明确指出，数据保存的时间要根据商业、法律或者管理部门规定等要求来确定。而TJX公司的情况却不是这样。

　　此外，第3.2.1款规定称，信用卡磁条上包含的持卡者姓名、主要账户号码和服务代码等Track 2数据根本就不应该存储。这个10-K文件称，在2003年9月2日之后，这些数据不再存储在该公司的Framingham系统中。这暗示以前曾可能存储了这种数据。

　　此外，加密控制对于客户数据来说也许是不充分的，存储或者发送给外部都没有充分的加密控制。PCI数据安全标准第3.4款称，采用有密钥管理程序的强大的密码加密方式进行加密是保护客户数据安全的四种方法之一。

　　这个文件披露的更严重的破坏是一些在2006年从英国Watford设施被盗窃的数据。这些数据是在支付卡批准过程期间的传输过程中被盗窃的。这包括Track 2数据。这些数据在传输过程中都没有进行加密。这就违反了4.1款的规定。这个规定强制要求对在互联网上传输的客户数据进行加密。这个规定还要求用WPA或者WAP2加密无线传输的这种数据。一直有一些推测认为入侵者也许使用了TJX公司无线网络中的一个漏洞。

　　谁有密钥?

　　但是，这个故事的加密部分还有一个情况。从10-K文件来看，似乎是虽然TJX公司没有对传输过程中的数据加密，但是，该公司对静态数据进行了加密。然而，该公司认为入侵者可能已经接触到了该公司的加密密钥。如果是这种情况的话，很有可能是内部人员干的。这个问题就是缺乏内部控制而不是缺少适当的加密。

　　这个标准的3.5款明确要求进行安全存储和有限制的接触加密密钥。但是，第七项要求明确指出访问持卡者数据只能根据需要了解的条件批准，否则系统将拒绝所有的访问。虽然这个10-K文件没有具体说明访问管理问题，但是，内部人员威胁的暗示是一个迹象，表明基本的数据访问控制程序是不充分的。

　　还有一个需要审查的问题是在Framingham和Watford这两个设施批准员工物理访问的问题。PCI数据安全标准第9.2和9.3款规定了徽章和访问者标识的程序。这些规定认真遵守了了吗?这个10-K文件没有说。

　　尽管这个10-K文件明确指出恶意访问事件发生在2005年，但是，这个数据泄漏事件在2006年12月才发现。这样，这个入侵者至少有一年半的时间可以随意访问TJX的系统。为什么用这么长的时间才发现这个问题?PCI数据安全标准第10.5款规定要对不能修改的形迹进行安全审计。这个10-K文件反复称，入侵者使用的技术基本上掩盖了其痕迹。这里再一次表明，审计记录显然没有达到标准。

　　PCI数据安全标准第11.3和11.4款要求定期进行入侵测试和使用入侵检测系统。第11.5款要求使用文件完整性监视软件。TJX公司采用上述任何措施了吗?10-K文件没有提到任何这些防护措施，TJX可能没有采取任何措施。

　　虽然遵守法规并不一定就等于安全，但是，在TJX数据泄漏事件中，遵守法规和安全措施都不充分。