הפרת האבטחה הידועה לשמצה שחשפה את המידע הכספי והאישי של עשרות מיליוני אמריקאים בסוף השנה שעברה הייתה תוצאה של כישלונה של החברה לשמור על פעולות השגרה ותפקודי התחזוקה שלה ברשת נפרדת מפונקציות תשלום חיוניות, על פי מידע מאבטחה. החוקר בריאן קרבס, שדיווח לראשונה על ההפרה בדצמבר.
יעד שעבר חשף בשבוע שעבר ל"וול סטריט ג'ורנל " כי ההפרה הראשונית של הרשת שלה התייחסה למידע על כניסה שנגנב מספק צד ג '. מר קרבס מדווח כעת כי הספק המדובר היה Fazio Mechanical Services, חברת שארפסבורג, הרשות הפלסטינית, שהתקשרה עם Target על מנת לספק קירור והתקנת HVAC ותחזוקה. נשיא פזיו, רוס פזיו, אישר כי החברה ביקרה על ידי השירות החשאי האמריקני כחלק מהחקירה, אך טרם הצהירה הצהרות פומביות אודות המעורבות המדווחת של אישורי כניסה שהוקצו לעובדיה.
עובדי Fazio קיבלו גישה מרחוק לרשת של Target כדי לפקח על פרמטרים כמו צריכת אנרגיה וטמפרטורות קירור. אך מכיוון שעל פי הדיווחים Target לא הצליחה לפלח את הרשת שלה, פירוש הדבר שהאקרים בעלי ידע רב יוכלו להשתמש באותם אישורי צד שלישי מרוחקים כדי לגשת לשרתי נקודת המכירה הרגישים של הקמעונאי. ההאקרים שעדיין לא נודעו ניצלו את הפגיעות הזו כדי להעלות תוכנה זדונית לרוב מערכות ה- POS של טארג'ט, אשר תפסו את התשלום והמידע האישי של עד 70 מיליון לקוחות שרכשו בחנות בין סוף נובמבר לאמצע דצמבר.
חשיפה זו הטילה ספק באפיון האירוע על ידי בכירי היעד כגניבת סייבר מתוחכמת ובלתי צפויה. בעוד שהתוכנה הזדונית שהועלתה אכן הייתה מורכבת למדי, ובעוד שעובדי Fazio חולקים קצת אשמה בכך שהם מאפשרים גניבה של אישורי כניסה, עדיין נותרה העובדה כי כל אחד מהמצבים היה מוגדר אם Target היה ממלא אחר הנחיות האבטחה ומפלח את הרשת שלה כדי לשמור על שרתי התשלומים מבודדים מרשתות המאפשרות גישה רחבה יחסית.
ג'ודי ברזיל, מייסד CTO של חברת האבטחה FireMon, הסביר ל- Computerworld , "אין שום דבר מפואר בזה. היעד בחר לאפשר גישה של צד שלישי לרשת שלה, אך לא הצליח לאבטח את הגישה הזו כראוי. "
אם חברות אחרות לא מצליחות ללמוד מהטעויות של Target, צרכנים יכולים לצפות לעוד פרצות נוספות. סטיבן בויר, CTO ומייסד משותף של חברת ניהול סיכונים BitSight, הסביר, "בעולם ההיפר-רשת של ימינו, חברות עובדות עם יותר ויותר שותפים עסקיים עם פונקציות כמו גביית ועיבוד תשלומים, ייצור, IT ומשאבי אנוש. האקרים מוצאים את נקודת הכניסה החלשה ביותר כדי לקבל גישה למידע רגיש, ופעמים רבות נקודה זו נמצאת בתוך המערכת האקולוגית של הקורבן. "
טרם נמצא כי המטרה הפרה את תקני האבטחה בענף כרטיסי התשלום (PCI) כתוצאה מההפרה, אולם חלק מהאנליסטים צופים צרות בעתיד החברה. למרות שמומלצים מאוד, תקני PCI אינם מחייבים ארגונים לפלח את הרשתות שלהם בין פונקציות תשלום ואי-תשלום, אך נותרה ספק אם הגישה של צד שלישי לגישה של יעד השתמשה באימות דו-גורמי, וזה דרישה. הפרות של תקני PCI עלולות לגרום לקנסות גדולים, ואנליסט גרטנר אביביה ליטן אמר למר קרבס כי החברה עשויה להתמודד עם קנסות של עד 420 מיליון דולר בגין ההפרה.
הממשלה גם החלה לפעול בתגובה להפרה. ממשל אובמה המליץ השבוע על אימוץ חוקים קשוחים יותר בנושא אבטחת סייבר, תוך הבאת עונשים קשים יותר לעבריינים כמו גם דרישות פדרליות לחברות להודיע ללקוחות בעקבות הפרות אבטחה ולעקוב אחר נוהלי מינימום מסוימים בכל הקשור למדיניות מידע בנושא סייבר.
