Компания Home Depot пренебрегала требованиями защиты данных

image

Теги: утечка персональных данных

Данные 56 миллионов клиентов были скомпрометированы из-за несоблюдения правил кибербезопасности.

Бывшие специалисты по кибербезопасности торговой сети Home Depot заявили , что руководство интернет-магазина на протяжении нескольких лет игнорировало все предупреждения об уязвимости платежной системы компании. В 2012 году главным архитектором информационной безопасности Home Depot стал Рикки Джо Митчелл (Ricky Joe Mitchell). Прежде чем занять эту должность, он был уволен из компании EnerVest Operating. Желая отомстить прежним хозяевам, он саботировал работу сети компании, из-за чего компания в течение месяца находилась в режиме off-line. Mitchell оставался сотрудником Home Depot даже после того, как через год получил обвинительный акт и отвечал за безопасность систем компании до января 2014 года, когда признал себя виновным в предъявленном обвинении.

Утечка персональных финансовых данных, которая, как сообщается, началась в апреле 2014 года и оставалась незамеченной вплоть до начала сентября, привела к тому, что в открытом доступе оказались номера 56 миллионов кредитных карт. По заявлению руководства Home Depot, для совершения атак применялось неизвестное ранее вредоносное ПО BlackPOS, способное обходить системы защиты компании. Однако бывшие сотрудники утверждают, что в компьютерных системах компании использовалось устаревшее антивирусное ПО – приобретенная в 2007 году версия антивируса Symantec. Кроме того, мониторинг ненормального сетевого поведения не проводился, а значит, необычный сетевой трафик, исходивший от систем точек продаж, не отслеживался

В нарушение требований Payment Card Industry (PCI) Security Standards Council сканирования в поисках уязвимостей проводились нерегулярно и только на отдельных объектах. Как заявили бывшие специалисты по IT-безопасности, ряд систем Home Depot, оперирующих персональными данными покупателей, проверке не подлежали.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.