美国大型零售商塔吉特公司(Target)5月5日发布声明,首席执行官格雷格•斯泰因哈费尔(Gregg Steinhafel)辞职。
塔吉特CEO辞职
塔吉特公司周一在官网上发表声明,董事长及首席执行官格雷格•斯泰因哈费尔(Gregg Steinhafel)已经辞职,即刻生效。此前,斯泰因哈费尔已在公司工作了35年。塔吉特目前已任命首席财务官John Mulligan临时接替Steinhafel的职位,并已开始招募新CEO。
塔吉特在去年感恩节购物季期间,被曝发生大规模数据被窃事件,导致约4千万张信用卡的记录,以及7千万条用户隐私信息等被盗。成为迄今为止美国零售业发生的最大的信用卡数据盗窃事件之一。
塔吉特董事会在公告中表示:“董事会对本公司的未来有信心,并将这段过渡期视为推进塔吉特事业与加快公司转型工作的机会。”
据美联社报导,此次个人信息被盗的主要是11月27日至12月15日期间在店内进行消费的客户,被盗数据包括客户姓名、信用卡和借记卡卡号、信用卡到期日期和位于卡片上的三位安全码。
塔吉特公司表示,信息被盗的卡片包括标的专用购物卡和主要的信用卡品牌如维萨和万事达,但数据被盗并不影响网上购物。
安全行业博客Krebs on Security之前披露,塔吉特在美国的1,797家门店在此次数据被窃事件中几乎全部受到了影响,并且调查人员认为窃贼是通过安装在塔吉特店内销售终端机上的一个软件获取信用卡数据的。
之后,摩根大通银行和花旗银行表示,将为数据被盗的受害塔吉特客户更换借记卡。
关于此次信息泄露是怎么发生的,塔吉特并未做出详细解释。但业内专家指出,像塔吉特这样的公司每年信用卡消费额高达近千万美元,发生如此严重的信息泄露是极其令人担忧的。
高德纳谘询公司安全分析师Avivah Litan表示,考虑到整个安全系统,她认为此次泄露可能是公司内部原因。她还警告称,此次泄露说明现行的安全标准已失效。
计算机安全公司索福斯(Sophos)的全球安全研究主管詹姆斯•莱恩表示,塔吉特的安全措施有明显失误。“4千万张卡片的信息被盗,确实显示了大量的安全漏洞,这是不该发生的。”他说。
塔吉特店内打折弥补客户损失
此次客户信用卡资料被盗,涉及塔吉特在美国各地近1,800家商店,但在加拿大的124家实体店和塔吉特网站未受影响。
事件中,不仅塔吉特发行的印有本店标识的红卡,其他主要信用卡,如Visa, American Express, MasterCard,Discover卡都受到影响。顾客的姓名、信用卡和借记卡的卡号、到期日及安全码都被骇客盗取。
事发之后,塔吉特已经通知主要信用卡发行机构,请求他们一道监控信用卡被盗刷。
其他银行也主动致电客户,即使他们的信用卡未出现可疑交易,但只要他们在11月27日至12月15日在塔吉特刷卡购物,都建议他们更换新卡。
之后,塔吉特表示将为顾客提供免费的信用监控服务,并于去年12月21、22日两天,提供全场10%的购物折扣。
这一招还算奏效,不少顾客利用周末促销,到塔吉特购买礼物,但为了保险起见,他们纷纷改用现金。但塔吉特招来的更多的是抱怨和痛骂声。许多客户在其脸书账户留言,指责塔吉特导致他们年节购物计划一片混乱,并宣称以后绝不到塔吉特购物。
事件发生后,联邦特勤局也宣布介入调查。
信用卡资料被窃全球频发
调查人员相信这起事件是海外骇客所为,而且,黑客并非进入塔吉特客户资料库盗取信息,而是在客户刷卡付账时,直接用软件读取信用卡资料。
商家选用不同的软件来提取顾客的支付信息,但有的软件根本不对信息进行加密保护,让黑客们轻松搞到所有信息。
虽然塔吉特此次受害民众高达4千万,但还不是美国最大的信用卡资料遭骇案件。除了零售商之外,美国也发生多起大规模大型科技公司、信用卡付款处理系统公司客户信用卡资料失窃事件。
1984年,黑客入侵信用报告公司TRW系统,9千万人的信用记录被盗。黑客根据用户的姓名、地址等,可获取其信用卡号码。调查发现,黑客通过西岸一个西尔斯店破解TRW系统密码。
旗下拥有TJ MAXX和Marshall’s 两个品牌的TJX,从2005年起到2007年,多达4,600万顾客信用卡资料遭窃。2007年10月,法院案件显示实际受影响客户多达9,400万,比原先估计的多两倍。
2008年,信用卡付款处理公司Heartland系统遭黑客侵袭,预计有1.3亿客户受影响。Heartland最终向Visa、万事达、美国运通和其他信用卡机构赔偿1.1亿元。
2011年4月27日,索尼宣布,旗下的游戏系统PlayStation Network和音乐下载服务Qriocity共7,700万用户的个人资料和信用卡号码被盗。
2013年秋,软件商Adobe系统宣布,38万用户个人数据资料遭骇,包括名字、加密的信用卡或借记卡号码以及这些卡的到期日期等信息。但11月初,知名网路安全博客Naked Security透露,根据黑客公布的数据,受影响的用户可能高达1.5亿。
技术更新滞后黑客得手
而由于网络普及,黑客行为变得越来越容易,越来越普遍。在美国,信用卡安全技术有些滞后,商家目前仍在采用信用卡磁条技术。而其他国家早已改用信用卡内置芯片技术。如果信用卡内置芯片,每次刷卡交易时都会自动生成新号码,使黑客很难根据上述资料伪造。而伪造磁条信用卡要容易得多,正因如此,美国成为全球黑客捞钱的宝地。
被称为EMV的电脑化信用卡技术早在1990年代已经问世,首先在欧洲各国应用,随后全世界都广泛采用。
要采用新技术,这意味着全美800多万商家都接受信用卡,他们使用的终端机必须经过升级才能使用新技术。同时,生产内置芯片的信用卡成本为磁条卡的4倍。
但美国正在接近新技术。信用卡公司提出要求,到2015年秋天,如果不采用EMV新技术,商家要对磁条卡造成的损失负责任。
防信用卡被盗小贴士
按联邦法律规定,非本人授权使用的信用卡消费,持卡人必须负担损失的上限为50元,某些情况下消费者完全不必负担损失。
现金卡方面,若在两天内通知银行,持卡人须负担的损失上限为50元。超过两天才通知则须负担上限为500元。若收到银行每月报表60天内仍未通知银行,则所有损失须自负。
如何防止被盗用信用卡,下面有些资料供读者参考 :
- 网上购物时需要提供有效的密码,以便信用卡中心(VISA, MasterCard或JCB)即时验证卡主及商户的身份,有效防止信用卡被盗用。
- 在信用卡背面签名,避免使用端正的正楷字,签名也须与信用卡申请表格上的预留签名格式保持一致,以便核对。
- 而现时许多银行均已推出密码确认系统,持卡人可于申请信用卡时选择消费方式为签名结合密码,以减低被盗用的机会。
- 消费后签名前应细心核对消费金额及卡号,切勿在空白或填写不完整的帐单上签名。
- 信用卡就好比你的身份证等重要证件,所以即使是身边熟悉的人也不应随便让其借去。如接到银行要求确认资讯的电话或短讯,应主动致电发卡机构证实,以防冒充银行盗取个人料。