आईडी चोरी चोरी कई स्तरों पर खुदरा विक्रेताओं पर हमला [

पहचानकर्ता चोरों की अंगूठी जो लक्षित अमेरिकी खुदरा विक्रेताओं ने अदालत के दस्तावेजों के अनुसार, टीजेएक्स, ऑफिस मैक्स, बार्न्स एंड नोबल और अन्य कंपनियों से 40 मिलियन से अधिक क्रेडिट और डेबिट कार्ड नंबरों को चोरी करने के लिए परिष्कृत और बहुआयामी हमलों का इस्तेमाल किया।

हमले की लागत खुदरा विक्रेताओं और क्रेडिट कार्ड कंपनियों के लाखों डॉलर।

आईडी चोरी की साजिश के सदस्य खुदरा दुकानों द्वारा संचालित वायरलेस नेटवर्क में छेद खोजने के लिए तथाकथित वार्डिंग तकनीक का इस्तेमाल करते हैं। एक बार नेटवर्क के अंदर, चोरों ने खुदरा विक्रेताओं के नेटवर्क पर संग्रहीत क्रेडिट कार्ड लेनदेन की जानकारी को चुरा लिया और न्यायालय के दस्तावेजों के अनुसार।

[और पठन: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

चोर भी स्थापित हैं क्रेडिट कार्ड डेटाबेस तक पहुंच प्राप्त करने के लिए, एसक्यूएल इंजेक्शन के हमलों सहित इंटरनेट-आधारित हमलों का इस्तेमाल करते हैं।

आईडी चोरी समूह ने कब्जा किए गए क्रेडिट कार्ड नंबरों को संग्रहीत किया अदालत के दस्तावेजों के अनुसार अमेरिका, लाटविया और यूक्रेन में समझौता सर्वर पर आईडी चोरी की योजना के कथित अभियोजन पक्ष अल्बर्ट गोंजालेज के अभियोग दस्तावेज के अनुसार चोरों ने उन सर्वरों पर क्रेडिट कार्ड नंबरों को एन्क्रिप्ट किया।

मोंमी के गोन्ज़ेलेज़ को मैसाचुसेट्स जिले के लिए अमेरिकी जिला न्यायालय में मंगलवार को दोषी ठहराया गया था। कंप्यूटर धोखाधड़ी, तार धोखाधड़ी, उपकरण धोखाधड़ी का उपयोग, पहचान की चोरी और षड्यंत्र के आरोपों पर। दस अन्य प्रतिवादियों का आरोप लगाया गया है या अमेरिकी न्याय विभाग के इतिहास में सबसे बड़ी आईडी चोरी और कंप्यूटर हैकिंग जांच के अपराधों का आरोप लगाया गया है, डीओजे ने मंगलवार को घोषित किया है।

गोंजालेज के लिए अभियोग दस्तावेज, जो काम कर रहे थे यू.एस. सिक्योरिटी सर्विस के लिए एक मुखबिर के रूप में कथित तौर पर इस योजना में शामिल होने के कारण आईडी चोरी प्रक्रिया पर कुछ प्रकाश डाला गया है। चोर वे रिक्त कार्ड पर क्रेडिट कार्ड की जानकारी को सांकेतिकृत करने में सक्षम थे, जो कि एकल विज़िट्स में नकदी मशीनों से हजारों डॉलर प्राप्त करने के लिए उपयोग किए गए थे, अदालत के दस्तावेज़ कहते हैं।

अदालत के दस्तावेज़ में विस्तृत हुए हमलों में:

- - 2003 में, गोंजलेज़ और अन्य लोगों को बीजे के थोक क्लब स्टोर में एक अनएन्क्रिप्टेड वायरलेस एक्सेस प्वाइंट मिला। बीजे ने 2004 के शुरू में अपने कंप्यूटर नेटवर्क का उल्लंघन बताया।

- 2004 में, आईडी चोरी की अन्य अंगों ने मियामी में एक OfficeMax वायरलेस पहुंच बिंदु के साथ समझौता किया, और वे क्रेडिट कार्ड डेटा चोरी करने में सक्षम थे। 2006 में कानून प्रवर्तन अधिकारियों ने डेटा मैक्स के आंकड़ों के उल्लंघन के शिकार के रूप में पहचान के बाद, कंपनी ने कहा कि उसने जांच करने के लिए एक बाहरी ऑडिटर को रखा और एक सुरक्षा उल्लंघन का कोई सबूत नहीं पाया। एक ऑफिस मैक्स के प्रवक्ता ने टिप्पणी की मांग करने वाले एक संदेश को तुरंत वापस नहीं किया।

- जुलाई, सितंबर और नवंबर 2005 में, कथित आईडी चोरी अंगूठी के सदस्य क्रिस्टोफर स्कॉट ने दो वायरलेस एक्सेस प्वाइंटों को समझौता किया, जो कि मियामी में मार्शल्स विभाग की कहानियों में टीजेएक्स द्वारा संचालित है। स्कॉट ने बार-बार कंप्यूटर आदेशों को संचारित करने के लिए TJX के सर्वरों को क्रेडिट कार्ड की जानकारी संग्रहीत करने के लिए उपयोग किया, फ्रैंसिम, मैसाचुसेट्स में। टीजे एक्सक्स, होमगुड और अन्य रिटेल आउटलेट्स के मालिक टीजेएक्स ने जनवरी 2007 में डेटा उल्लंघनों की सूचना दी।

साइबर सिक्योरिटी विशेषज्ञों ने कहा कि पीड़ित होने के बारे में कंपनियां चिंतित हैं, हमले से सीख सकते हैं। व्यक्तिगत जानकारी रखने वाली कंपनियों को डेटा सुरक्षा के लिए एक व्यापक दृष्टिकोण लेने की आवश्यकता है, जिसमें क्रेडिट कार्ड डाटाबेस के एन्क्रिप्शन, नेटवर्क के अंदर संदिग्ध व्यवहार की सूचनाएं और डेटा तक पहुंच पाने वाले लोगों की सीमाएं शामिल हैं।

कंपनियां सॉफ्टवेयर पैच कंप्यूटर सुरक्षा विक्रेता एप्लिकेशन सुरक्षा के लिए रणनीति और विपणन के उपाध्यक्ष टेड जूलियन ने कहा, जल्दी और सुनिश्चित करें कि वे जानते थे कि उनके नेटवर्क पर संवेदनशील डेटा स्थित है। उन्होंने कहा कि कई कंपनियों को यह नहीं पता है कि आईटी कार्यकर्ता के टर्नओवर और अन्य कारकों के कारण उनके सभी संवेदनशील आंकड़ों को कहाँ रखा गया है।

जूलियन ने कहा कि साइबर सुरक्षा विक्रेता आरएसए में उत्पाद प्रबंधन के उपाध्यक्ष सैम करी ने कहा कि कंपनियां अपने जोखिमों का विश्लेषण करने और समस्याओं को ठीक करने के लिए लक्षित दृष्टिकोण भी लेनी चाहिए।

हाल के वर्षों में हमलों में बदलाव आया है, और अधिक संगठित, लक्षित अभियानों के साथ, जूलियन ने कहा। "हैकर्स अधिक ध्यान केंद्रित कर रहे हैं, और वे 38 दरवाजे की कोशिश करेंगे, वे 100 दरवाजे की कोशिश करेंगे," उन्होंने कहा। "जैसे ही उन्हें अनलॉक किया जाता है, वे डेटाबेस पर जा रहे हैं। मुझे नहीं पता कि बहुत सारे [आईटी] लोगों को अपने बजट में $ 10 मिलियन मिल रहे हैं ताकि नए सुरक्षा उपायों का एक गुच्छा शुरू हो सके। "

कंपनियों को यह भी जांचना चाहिए कि उनके द्वारा संग्रहीत डेटा की आवश्यकता है और वे कितने समय तक डेटा रखते हैं, एक अन्य साइबर सुरक्षा विक्रेता, सोफोस के वरिष्ठ प्रौद्योगिकी परामर्शदाता ग्राहम क्लूली ने कहा।

कंपनियां परिधि रक्षा पर बहुत अधिक ध्यान केंद्रित करती हैं और नहीं अपने नेटवर्क के अंदर डेटा की रक्षा करने पर, करी ने कहा। खुदरा विक्रेताओं और अन्य कंपनियों को "जागना और इन खतरों को गंभीरता से लेने की जरूरत है," करी ने कहा। "बुरे लोगों को यह करने के लिए उनके लिए बहुत अधिक लागतें।"

अभियोग की घोषणा मंगलवार को साइबर सुरक्षा के बारे में जागरूकता पैदा कर सकती है, करी गयी और कुछ उच्च प्रोफ़ाइल दृढ़ विश्वास अपराधियों के प्रति प्रतिरोधी के रूप में काम कर सकते हैं।

लेकिन करी और क्लूली ने खुदरा विक्रेताओं पर उंगलियों को इंगित करने से इंकार कर दिया जिनके सिस्टम से समझौता किया गया था। क्लूली ने कहा, जबकि कंपनियों के ग्राहकों को सुरक्षा प्रथाओं में सुधार के लिए दबाव डालने की जरूरत है, कंपनियां भी पीड़ित हैं, क्लूली ने कहा।

"कंपनियों को बहुत ज्यादा हरा देना गलत होगा।" "प्रतिस्पर्धी कंपनियों को भी बहुत तस्करी महसूस नहीं होनी चाहिए, क्योंकि उनमें से कितने अपने हाथों पर अपना हाथ डाल सकते हैं और कह सकते हैं, 'यह हमारे संगठन के अंदर कभी नहीं हो सकता है?'"

अमेरिकी संघीय व्यापार आयोग ने हालांकि शिकायत दर्ज कराई टीजेएक्स, बीजे के थोक और डीएसडब्ल्यू के खिलाफ, आईडी चोरी की अंगूठी द्वारा लक्षित एक जूता खुदरा श्रृंखला जिसमें मार्च 2005 में डेटा का उल्लंघन हुआ था। डीएसडब्लू ने बताया कि 1.4 मिलियन से अधिक क्रेडिट कार्ड नंबरों के साथ समझौता किया गया था, और $ 6.5 मिलियन से 9.5 मिलियन अमरीकी डॉलर ।

2005 के मध्य के अनुसार, बीजे ने आंकड़ों के उल्लंघन से संबंधित 13 मिलियन डॉलर का बकाया दावा किया एफटीसी के अनुसार, 450000 क्रेडिट कार्ड नंबर TJX उल्लंघनों में लिए गए थे।

एफटीसी ने आरोप लगाया है कि तीन खुदरा विक्रेताओं ने हमलों से बचाने के लिए उचित सुरक्षा उपायों को नहीं लिया।

एफटीसी ने बीजे के साथ समझौता करने की घोषणा की जून 2005 को कंपनी को एक व्यापक सूचना-सुरक्षा कार्यक्रम को लागू करने और 20 साल के लिए हर दूसरे वर्ष स्वतंत्र तृतीय-पक्ष सुरक्षा पेशेवर द्वारा ऑडिट प्राप्त करने की आवश्यकता है। एजेंसी ने दिसंबर 2005 में डीएसडब्ल्यू के साथ एक समान बस्तियों और इस साल मार्च में टीजेएक्स की घोषणा की।

एफटीसी ने डीओजे द्वारा डेटा का उल्लंघन करने वाले लोगों के रूप में पहचान की गई छह अन्य कंपनियों के खिलाफ शिकायत दर्ज नहीं की है। उन कंपनियों में डेव और बस्टर, ऑफिस मैक्स, बार्न्स एंड नोबल, बोस्टन मार्केट, स्पोर्ट्स अथॉरिटी और फॉरएवर 21 हैं। एफटीसी के एक अधिकारी ने कहा कि वह उन कंपनियों के खिलाफ संभावित शिकायतों पर टिप्पणी नहीं कर सकती क्योंकि एफटीसी चालू जांच के बारे में टिप्पणी नहीं करता है।