occuserpens (occuserpens) wrote,
occuserpens
occuserpens

Когда провалы идут косяком

По последним сообщениям, количество кредиток, украденных у супермаркетной сети Таргет, составило астрономическую цифру 110 млн. Похитители получили доступ к контактной информации покупателей (фамилия, адрес и т.д.), а также к информации о карточках (номер, пин), которая, судя по всему, зашифрована. 110 М складываются из двух инцидентов - недавний размером в 70М и еще 40М в ноябре на День Благодарения. Украденная информация уже была замечeна на черных e-рынках.

Прямой материальный ущерб от этой гигантской кражи не так уж велик, поскольку факты использования чужой кредитки достаточно легко прослеживаются. Тем не менее, для американского ИТ это очень серьезный удар. Да, конечно, таргетовские специалисты по ИТ - не электронные полицейские, поэтому предотвратить конкретные компьютерные взломы они в принципе не могут. Но полицейские меры - это далеко не все.

Начнем с того, что если конфиденциальные данные о покупателях не хранить централизованно, их просто нельзя будет украсть все сразу, как это произошло с Таргетом! Никакой технической необходимости вести централизованную базу кредиток у е-торговца нет, для расчетов с покупателем это не нужно. До сих пор я по наивности думал, что данные о кредитках сохраняются только по прямому запросу покупателя в онлайновых магазинах, а при физических покупках эти данные немедленно стираются. Но, судя по скандалу с Таргетом, это отнюдь не так.

Если же продавец все же ведет базу кредиток покупателей, он вполне может ее шифровать так, что крупные кражи будут исключены, поскольку по одному ключу шифруются только достаточно небольшие группы транзакций. Судя по конечному результату, Таргет, не моргнув глазом, это элементарное правило нарушил. Кто за это несет ответстенность? Только топовые менеджеры могут запретить специалистам по ИТ соблюдать общеизвестные правила безопасности! По собственной инициативе и по простой беспечности такие вещи в широких масштабах не делаются.

Естественный вопрос - зачем это было сделано, кому это выгодно? Первое что приходит в голову - Таргет и другие ритейлеры данными о покупателях торгуют, их пакетируют для дальнейших поставок на рынок. Тогда становится понятно, что произошло в данном случае - в системе что-то не сработало, и по каким-то причинам данные о кредитках вместо белого рынка оказались на черном, только и всего.

В принципе, технологии усиления безопасности кредиток хороши известны. Первая из них - смарткарты. Когда в карту встроен чип, он отрабатывает с устройством торговца определенную процедуру свой-чужой, и тогда подделка физической карты становится бессмысленной. Соответственно, теряется смысл красть данные для такой подделки. Между прочим, в Европе смарткарты распространены гораздо шире, чем в США.

Второй путь предотвращения провалов вроде нынешнего - использовать облачные системы платежей типа Пейпала или Гугл Воллета. В этом случае продавцы перепоручают расчеты с покупателями платежной системе и снимают с себя ответственность за хранение их секретов.

Почему всем этим пренебрегают, я думаю, уже ясно - помимо естественной бюрократической инерции, ритейлеры, надо думать, не хотят лишиться доходов от торговли данными о покупателях. То, что таким образом они подрывают основы современного интернетовского ИТ, их не волнует.

Казалось бы, если торговцы сами не догадываются принять необходимые меры предосторожности, им об этом должны напомнить спецслужбы. И не простo напомнить, а обязать, проследить за исполнением, и, что самое главное, обеспечить необходимыми сервисами. Но тут вспоминаются разоблачения Сноудена, судя по которым спецслужбы заняты совсем другим.

Судя по сноуденовским документам, спецслужбы, мягко говоря, не заинтересованы в эффективной шифровке финансовых транзакций и их децентрализации! Как раз наоборот, данные о покупателях и продавцах им нужны для их собственных естественным образом централизованных баз, с которыми спецаналитики работают через гуглообразные спецпоисковики.

Теперь становится ясно, почему Бернерс-Ли осудил глобальную прослушку NSA. Он агитпропом не занимается, под технически смехотворным прикрытием борьбы с исламистскими террористами, которые в большинстве своем компьютерно неграмотны, действительно идет разрушение глобальной интернетовской инфраструктуры. Одним из многих симптомов этого процесса и является грандиозный таргетовский провал.
Tags: сша, техно
Subscribe

  • Девушка из северной страны

    Спеть вместе с Кэшем свою песню - это признание, о котором серьезный певец может только мечтать. У Дилана это получилось, от их волчьего дуэта…

  • Не стареют душой ветераны

    Запись сверху сделана в 1999г. Бобу Дилану здесь под 60, Сьюзан Тедески - 30, она Дилану годится в дочери. Как выглядит их динамика, понятно без…

  • Колохоррор

    В порядке умственного эксперимента интересно представить себе острое неизлечимое STD заболевание, предотвратить которое может только колоноскопия. По…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 9 comments