据网络情报安全公司IntelCrawler当地时间周五发布的一份研究报告指出,该公司已经找到了此前美国零售商塔吉特、内曼-马库斯(Neiman Marcus,美国以经营奢侈品为主的连锁高端百货商店)和另外六家主要零售商被黑事件背后的主犯。但出人意料的是,这名主犯竟然是一名年仅17岁的俄罗斯少年。
IntelCrawler透露,这名年仅17岁俄罗斯少年在网络上的用户名是“ree4”,他将自己所编写的“BlackPOS”恶意软件出售给了超过60名东欧以及其他地区的网络罪犯。据悉,“ree4”常年居住在俄罗斯圣彼得堡地区,并一直活跃于一些知名论坛和黑客社区中。而且,“ree4”还曾撰写过其他一些恶意软件,比如 “Ree4 mail brute”和一些DDos、社交网络账户入侵工具等。
IntelCrawler公司总裁丹-克莱门兹(Dan Clements)在接受《PC世界》采访的时候表示:“我们对于这一结论的准确性非常有信心。”
然而,虽然“ree4”亲自编写了这些软件,但他本身却没有参与针对塔吉特和内曼-马库斯的入侵攻击事件中。
塔吉特方面拒绝就此发表置评。但内曼-马库斯女发言人则对外界所分析的“黑客之所以有机会将BlackPOS恶意软件植入零售商网络主要是因为部分门店内的信用卡终端仍然使用了原始密码或者非常容易猜到的密码”的消息发表了质疑。
“我目前还没有听说此次黑客事件同内曼-马库斯信用卡终端网络密码问题有关的消息”该女发言人说道。
事实上,尽管塔吉特和内曼-马库斯几乎是在同一时间遭遇黑客攻击,但目前我们尚不能肯定他们是否被植入除BlackPOS以外的其他恶意软件。”
在 IntelCrawler的这份报告中,该公司还引用了首席执行官安德鲁-科莫诺夫(Andrew Komarov)的一番评论,后者认为:“更多的BlackPOS软件入侵,尤其是针对大型百货商家的这类入侵将逐渐浮出水面。”需要指出的是,这一观点同路透社在本月早前时候所称的“塔吉特和内曼-马库斯并非是在去年圣诞购物季中唯一遭受到黑客攻击的零售商家,只是其他零售商直到现在都没有对外公布自己被攻击的消息”的报道不谋而合。
据《纽约时报》报道称,内曼-马库斯其实早在今年7月就遭遇了黑客入侵,但后者直到12月中旬才发现了这一问题,而当时事情已经发展到了不可控制的地步。在事情曝光后,内曼-马库斯表示用户的社保号码和出生年月等信息应该没有被黑客窃取,而公司也从不收集消费者的信用卡PIN码信息。
争议焦点
然而,目前业内争议的焦点还在于诸如内曼-马库斯等一些零售商是否理应在发现被黑客入侵后的第一时间被对外公布这一事实。因为内曼-马库斯此次是在知名安全研究记者将自己的发现发表在了博客上以后才不得不对外承认这一消息的。
目前,美国46个州的法律都强制规定商家、公司应该在确认自己遭遇黑客攻击后对外公布相关消息。但是,不同州法律对于给予商家、公司对正在进行的网络入侵的调查时间有所不同,对于他们可以延迟多长时间公布这一消息的规定各不相同,甚至对于这些商家、公司应该公布多少信息的规定也都不一样。
前美国网络犯罪驻曼哈顿总检察官约瑟夫-德马科(Joseph DeMarco)在接受媒体采访时表示:“这是一个见仁见智的问题,针对网络攻击所展开的调查有可能需要数周、甚至数月的时间,而商家有可能需要在拥有了足够的证据后才能对外公布这一结果”。
但是,目前已经有越来越多的消费者呼吁对这一法规进行修改,并在必要的时候请求联邦政府介入斡旋。