เหตุการณ์แฮกเครื่องรับจ่ายเงิน (POS) ของห้าง Target ผ่านไปสามเดือนกว่าแล้วตอนนี้เข้าสู่ช่วง "เก็บกวาด" ก็มีข้อมูลให้ปะติดปะต่อเรื่องราวกันมากขั้น รายงานล่าสุดจาก Bloomberg ระบุว่ากลุ่มแฮกเกอร์ได้บุกเข้ามาวางมัลแวร์ตั้งแต่วันที่ 27 พฤศจิกายน โดยซอฟต์แวร์ FireEye ที่ห้าง Target ซื้อมาสามารถแจ้งเตือนได้ตั้งแต่วันที่ 30 พฤศจิกายน ทีมงานที่ดูแลการแจ้งเตือนในอินเดียแจ้งเตือนกลับมายังทีมงานความปลอดภัยในสหรัฐฯ แต่ปรากฎว่าไม่มีใครตอบรับการแจ้งเตือนแต่อย่างใด

แฮกเกอร์กลับมาอีกครั้งในวันที่ 2 ธันวาคมเพื่อติดตั้งมัลแวร์รุ่นใหม่ ทาง FireEye และทีมงานในอินเดียก็แจ้งเตือนกลับมาอีกครั้ง แต่ทีมงานก็ยังคงเงียบ

FireEye สามารถทำหน้าที่เป็นไฟร์วอลได้ในตัวเองทำให้สามารถบล็อคการอัพโหลดมัลแวร์ได้ทันทีหากเปิดความสามารถนี้เอาไว้ แต่ทีมงานความปลอดภัยของ Target เลือกที่จะปิดความสามารถนี้

ตัวมัลแวร์เองมีเงื่อนงำให้สืบตามพอสมควร รหัสผ่านอันหนึ่งคือ Crysis1089 เป็นคำที่เกี่ยวกับการประท้วงหลังยูเครนประกาศเอกราชในปี 1989 อีกชื่อหนึ่งคือ Rescator เป็นชื่อที่พ่อค้าขายหมายเลขบัตรเครดิตเถื่อนในตลาดมืดในยูเครน

ตลาดมืดหมายเลขบัตรเครดิตที่ใหญ่ที่สุดในโลกคือ Carderplanet ก่อตั้งมาตั้งแต่ปี 2001 หน่วยงานหลายประเทศพยายามทลายตลาดนี้แต่ยังไม่สำเร็จ โดยตอนนี้มีสมาชิกมากกว่า 6,000 คน และมีการจัดงานสัมมนาประจำปีในเมือง Odessa ในยูเครน เมื่อหมายเลขบัตรเครดิตของ Target หลุดออกไป มีเลขบัตรหลายชุดเข้ามาวางขายในตลาดนี้โดยพ่อค้าหลายคน แต่ Rescator นั้นมีรายการขายมากที่สุด

ทีมงานรักษาความปลอดภัยข้อมูลของห้าง Target มีมากกว่า 300 คน แต่สุดท้ายรายงานการแฮกก็ต้องรับแจ้งจากภายนอกในวันที่ 12 ธันวาคม โดยหน่วยงานตรวจสอบการใช้บัตรเครดิตแจ้งห้าง Target ว่ามีรายการจ่ายผ่านบัตรเครดิตปลอมจำนวนมากที่มีจุดร่วมคือหมายเลขบัตรเหล่านี้เคยใช้งานที่ห้าง Target และทางห้างยอมรับต่อสาธารณะในวันที่ 15 ธันวาคม ระหว่างนี้แฮกเกอร์มีเวลาถึงสองสัปดาห์เพื่อขนย้ายข้อมูลรวม 11 กิกะไบต์กลับไปยังเซิร์ฟเวอร์ในรัสเซีย

ตอนนี้ห้าง Target ยังไม่ตอบคำถามเจาะจงว่าทำไมจึงไม่มีการตอบสนองต่อการเตือนก่อนหน้า โดยแจ้งเพียงว่าเหตุการณ์อยู่ระหว่างการสอบสวน

ที่มา - Bloomberg