Компания Home Depot пренебрегала требованиями защиты данных - SearchInform
Компания Home Depot пренебрегала требованиями защиты данных
22.09.2014

 Данные 56 миллионов клиентов были скомпрометированы из-за несоблюдения правил кибербезопасности.

Бывшие специалисты по кибербезопасности торговой сети Home Depot заявили, что руководство интернет-магазина на протяжении нескольких лет игнорировало все предупреждения об уязвимости платежной системы компании. В 2012 году главным архитектором информационной безопасности Home Depot стал Рикки Джо Митчелл (Ricky Joe Mitchell). Прежде чем занять эту должность, он был уволен из компании EnerVest Operating (Charelston, South Carolina. Желая отомстить прежним хозяевам, он саботировал работу сети компании, из-за чего компания в течение месяца находилась в режиме off-line. Mitchell оставался сотрудником Home Depot даже после того, как через год получил обвинительный акт и отвечал за безопасность систем компании до января 2014 года, когда признал себя виновным в предъявленном обвинении.

Утечка персональных финансовых данных, которая, как сообщается, началась в апреле текущего года, оставалась незамеченной вплоть до начала сентября, привела к тому, что в открытом доступе оказались номера 56 миллионов кредитных карт. По заявлению руководства Home Depot, для совершения атак применялось неизвестное ранее вредоносное ПО BlackPOS, способное обходить системы защиты компании. Однако бывшие сотрудники утверждают, что в компьютерных системах компании использовалось устаревшее антивирусное ПО – приобретенная в 2007 году версия антивируса Symantec. Кроме того, мониторинг ненормального сетевого поведения не проводился, а значит, необычный сетевой трафик, исходивший от систем точек продаж, не отслеживался

В нарушение требований Payment Card Industry (PCI) Security Standards Council сканирования в поисках уязвимостей проводились нерегулярно и только на отдельных объектах. Как заявили бывшие специалисты по IT-безопасности, ряд систем Home Depot, оперирующих персональными данными покупателей, проверке не подлежали.

Источник 

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.