导语:Whole Foods向外界披露,在其餐厅和酒吧使用信用卡消费的顾客,个人资料遭到黑客攻击,面临失窃风险。不过值得庆幸的是,资料失窃仅限于在餐厅和酒吧刷卡的顾客,商店购物则不受影响,因为两者使用的POS系统是不同的。
新的一天,新的数据泄漏事件。本次事件的主角是美国食品连锁巨头全食超市(Whole Foods),近日,外媒报道称,Whole Foods发生数据泄露事件,危及用户的信用卡数据安全。
关于Whole Foods
全食超市(Whole Foods)是一家连锁超市,建于1980年,现已约500家商店,分布于全美各地。Whole Foods一度被比作“有机食品界的Google”,而它的老板就是“绿色食品业的比尔盖茨”。
Whole Foods专卖的绿色食品,尽量减少加工处理,也不含有转基因、人造色素和防腐剂。Whole Foods的创办者认为,只有这样的食品,味道才最鲜美也最有营养。他们还坚信“食物链、人类、大地母亲,交织成精美的良性循环,互相依赖的共存体”。
2017年6月16日,亚马逊公司以每股42美元现金,共计137亿美元收购了Whole Foods。收购完成后,Whole Foods仍以现有的品牌运营,其创始人John Mackey也继续担任首席执行官。
Whole Foods酒吧、餐厅用户的信用卡数据泄漏
9月28日,Whole Foods向外界披露,在其餐厅和酒吧使用信用卡消费的顾客,个人资料遭到黑客攻击,面临失窃风险。不过值得庆幸的是,资料失窃仅限于在餐厅和酒吧刷卡的顾客,商店购物则不受影响,因为两者使用的POS系统是不同的。
据悉,Whole Foods在美国、英国和加拿大等地约有500家商店、40多家啤酒销售点,目前,该公司拒绝披露有关目标地点和受此违规行为影响的客户总数等方面的详细信息。
Whole Foods表示,公司已经聘请了一家网络安全公司来协助其调查此次信用卡泄漏事件,且该公司也已经与执法部门取得了联系。Whole Foods在其网站上发布的一份声明中表示,
我们在获知此次攻击事件的第一时间,就立即展开了调查,并且获得了知名网络安全取证公司的帮助,联系了执法机构,现在我们正在采取适当的措施来解决该问题。
此外,该公司还鼓励用户密切监控其信用卡对账单,同时“向开证行报告任何未经授权的交易行为”。
黑客攻击事件近来频频发生,在Whole Foods宣布资料失窃前不久,全球税务和审计公司德勤也遭到了网络攻击,导致大量私人电子邮件和部分客户机密文件泄漏。同样在上周,美国证券交易委员会(SEC)也透露称,未知身份的黑客已经入侵了其财务文件归档系统,并从中窃取了大量机密文件用于谋取利益。9月初,信用报告公司Equifax也对外宣布,因为遭到网络攻击,其1.43亿名消费者的个人资料泄漏,其中包括姓名、住址、出生日期以及社会保障号码等。
为黑客攻击敞开大门的POS系统
POS系统上的数据,是黑客求之不得的宝库,其中包括客户的个人资料、信用卡或八达通等财务资料,部分POS系统甚至还连接商户内联网或客户关系管理系统。可以想象,如果这些系统一旦被入侵,后果会有多严重。而事实上,Whole Foods也确实并非唯一一家因POS系统遭到黑客入侵而导致顾客信用卡信息泄漏的公司。
1. 喜达屋(Starwood)旗下连锁酒店信用卡数据失窃
2015年11月,喜达屋集团表示,其旗下的50余家连锁酒店遭受黑客攻击,受攻击对象是酒店的POS系统。据悉,黑客将恶意软件安装在礼品商店、酒店等场所的POS机系统上,黑客通过该软件可以盗取刷卡用户的各类信息,包括持卡人姓名、卡号、密码以及信用卡的失效日期等重要信息。
2. Lightspeed终端遭到黑客入侵,数据泄漏蔓延至云端
2016年9月,云销售终端系统公司Lightspeed宣称,黑客通过往商家的POS终端系统里安装恶意软件,盗取了销售、产品相关信息以及客户用以登录Lightspeed系统的加密口令等数据。
3. 近40家Shoney餐厅的信用卡信息泄漏
2017年4月,网络犯罪分子通过在PoS系统上植入恶意软件,成功窃取了近40家Shoney餐厅(位于田纳西州的全美家庭式餐厅)的信用卡数据,包含持卡人的姓名、卡号、到期日期以及内部验证码等等。
4. Chipotle餐厅遭恶意软件入侵致信用卡信息泄漏
2017年5月底,Chipotle公司(美国快餐的知名品牌,成立于1993年,拥有近2000家分店)对外宣布,其快餐店的POS系统在2017年3月24日-4月18日期间感染了信用卡窃取恶意软件,旗下大多数连锁店受到了影响。
安全建议
安全专家建议,用户可以采取以下步骤降低安全风险:
用户要更改POS系统预设的帐户名称及密码,还应该移除不必要的帐户,原因是系统预设的帐户名称及密码一般较简单,易被黑客破解,因此必须更改,以加强保护;
POS系统不应与互联网连接,必须与网络隔离,更不应连接到公共网络,例如供客人使用的 WiFi 连接点,降低系统被入侵的风险;
POS系统可能采用很普及的操作系统,没有妥善保护,同样容易入侵。谨记在POS安装安全防护软件,并记得定期更新;
加强POS系统的防御能力,例如使用嵌入式 Windows的POS 系统,可根据微软的 POS Hardening指引,将系统强化。