Video: Neiman Marcus | Powerfront | INSIDE | Case Study (Oktober 2024)
Para penyerang di balik pelanggaran kartu kredit Target juga mengejar pelanggan di pengecer lain di seluruh negeri, termasuk pengecer kelas atas Neiman Marcus. Mungkin sudah waktunya kembali menggunakan uang tunai.
Pembeli sudah gelisah setelah Target melaporkan pelanggaran kartu kredit selama musim liburan sekarang dihadapkan dengan prospek bahwa serangan itu jauh lebih luas daripada yang diperkirakan sebelumnya. Tampaknya Target bukan satu-satunya pengecer yang terkena dampak pelanggaran ini, seperti Neiman Marcus dan setidaknya tiga pengecer lainnya mengalami insiden serupa selama periode waktu yang sama, lapor Reuters. Pakar keamanan telah lama memperingatkan bahwa bank, pemroses kartu kredit, dan pengecer tidak mengambil langkah-langkah yang diperlukan untuk mengamankan data kartu pembayaran dan informasi pribadi, membuat pelanggan rentan terhadap penipuan dan pencurian identitas.
"Dampak dari pelanggaran Target dan pengecer lain dalam keadaan yang sama (dan belum sepenuhnya diungkapkan) dapat memiliki efek yang jauh menjangkau kepercayaan konsumen dan dampak pada ekonomi AS kecuali jika langkah-langkah diambil untuk mengatasi kerentanan ini dengan segera, " kata Anup Ghosh, pendiri dan CEO perusahaan keamanan Invincea.
Lebih Banyak Korban Ditemukan
Neiman Marcus menemukan pelanggarannya pada 1 Januari, setelah menerima laporan dari pemroses kartu kredit tentang kemungkinan tuduhan tidak sah pada akun orang yang berbelanja di tokonya, lapor penulis keamanan Brian Krebs. Serangan itu tampaknya dalam skala yang lebih kecil, dengan kurang dari satu juta kartu dikompromikan.
Sementara Krebs tidak yakin apakah pelanggaran ini terkait dengan serangan terhadap Target, sumber mengatakan kepada Reuters bahwa insiden tersebut menggunakan teknik yang sama dan dapat dikaitkan. Seperti Target, Neiman Marcus mengatakan hanya pembeli yang menggunakan kartu mereka di toko yang terpengaruh, bukan pembeli online.
Target awalnya melaporkan bahwa 40 juta pembeli yang menggunakan kartu kredit mereka di salah satu outlet ritelnya selama musim belanja liburan terkena dampak pelanggaran kartu kredit. Pekan lalu, CEO Target mengakui pelanggaran itu lebih besar daripada yang diperkirakan, karena informasi pribadi setidaknya 70 juta pelanggan, termasuk nama, alamat surat, nomor telepon, dan alamat email juga dicuri. Mungkin ada beberapa tumpang tindih dalam pelanggan antara 40 juta awal dan 70 juta kemudian, tetapi Target tidak dapat mengatakan berapa banyak yang dihitung dua kali. Target juga mengakui bahwa semua pembeli AS selama tahun 2013 berada dalam risiko, bukan hanya mereka yang mengunjungi toko selama musim liburan.
Pertanyaan, Tapi Tidak Ada Jawaban
Investigasi masih dalam tahap awal, jadi ada lebih banyak pertanyaan daripada jawaban pada saat ini. Ini menghadirkan serangkaian tantangan baru, kata para pakar keamanan.
Saat ini, pertanyaan besarnya adalah, "Apakah saya terpengaruh?" dan sulit untuk mengatakannya. Reuters mengatakan tiga pengecer lain saat ini sedang menyelidiki, tetapi belum secara terbuka mengungkapkan pelanggaran pada saat ini. Mungkin juga ada pelanggaran lain yang lebih kecil pada awal 2013 yang masih belum dipublikasikan.
"Semua pengecer harus melakukan kesalahan dalam mengungkapkan semua konsumen yang berpotensi terkena dampak sementara pada saat yang sama mengungkapkan sepenuhnya apa yang mereka ketahui tentang pelanggaran dan bagaimana hal itu terjadi, " kata Ghosh.
Neiman Marcus mengatakan itu memberitahu pelanggan yang memiliki transaksi penipuan yang diposting ke akun mereka, tetapi ini membuat banyak konsumen yang berbelanja di toko bertanya-tanya dan menunggu kabar buruk. Ini menciptakan apa yang disebut oleh pakar "limbo keamanan data", karena pengguna mengetahui adanya pelanggaran tetapi tidak dapat mengambil langkah apa pun hingga mereka menerima konfirmasi. Target juga mengatakan pihaknya memberi tahu pelanggan tentang informasi pribadi yang dicuri jika alamat email ada dalam arsip.
Pemberitahuan selektif semacam ini membuka peluang bagi penyerang untuk meluncurkan serangan sekunder, kata Angel Grant, direktur solusi anti-penipuan di RSA. Penyerang dapat memanfaatkan kebingungan untuk mengirim email atau bahkan membuat panggilan telepon untuk menipu pengguna agar mengungkapkan informasi pribadi mereka dan rincian kartu pembayaran. Pengguna harus waspada untuk upaya tindak lanjut phishing setelah pelanggaran ini.
Diam itu Berbahaya
Meskipun dapat dimengerti jika tetap menyimpan informasi sampai penyelidikan selesai, tidak membantu pengecer lain. Target tidak membahas apa yang terjadi, dan Neiman Marcus bahkan lebih tertutup tentang metode yang mungkin digunakan penyerang. Saat ini, Target telah mengakui bahwa perangkat lunak point-of-sale-nya telah dikompromikan, dan Reuters mengutip sumber-sumber yang mengatakan para penyerang menggunakan pengikis RAM, sejenis malware yang menangkap data sementara dalam memori komputer. Telah ada lonjakan serangan menggunakan malware pengurai memori baru-baru ini, dan Visa bahkan mengeluarkan peringatan dengan informasi teknis tentang cara untuk menggagalkan jenis serangan ini tahun lalu.
Sementara itu tidak jelas apakah Target atau pengecer lain telah menerapkan salah satu metode untuk bertahan melawan serangan ini, sumber mengatakan kepada Reuters para penyerang jauh lebih canggih dan akan mampu melewati langkah-langkah itu. Berdasarkan fakta bahwa informasi pribadi dicuri, besar kemungkinan pelanggaran Target adalah "kompromi yang lebih luas dari jaringan Target daripada hanya mesin PoS, " kata Ghosh.
Pengecer kemungkinan sedang menyelidiki jaringan mereka dan mencoba mencari tahu apakah mereka juga terpengaruh. Di sinilah pembagian informasi antar pengecer akan sangat membantu.
Sedangkan untuk Anda dan saya, mungkin kita harus tetap dengan uang tunai untuk saat ini. Ini lebih aman, dan satu-satunya hal yang harus Anda khawatirkan adalah pencopet.
