Convert C# Byte Array To String - byte[] GetBytes GetString BitConverter Encoding UTF8 ASCII Char
]小売店やクレジットカード会社に何千万ドルもの損害を与えた。ID窃盗陰謀のメンバーは、小売店で運営されている無線ネットワークに穴を開けるためのいわゆるワーピング技術を使用していた。
[詳しい情報:Windows PCからマルウェアを削除する方法]
窃盗犯もインストールされているので、犯罪者はネットワークに入っていて、店舗のネットワーク上のパスワードとアカウントのデータをキャプチャするために呼び出されたスニッファソフトウェアで、SQLインジェクション攻撃などのインターネットベースの攻撃を使用してクレジットカードデータベースにアクセスしていました。
ID窃盗グループは、裁判所の文書によると、米国、ラトビア、ウクライナの侵害されたサーバー上にある。その後、ID窃盗計画の首謀者であるアルバート・ゴンザレス氏の起訴状によると、窃盗犯はこれらのサーバー上のクレジットカード番号を暗号化したという。マサチューセッツ州連邦地方裁判所で、マイアミのゴンザレス氏が起訴された有線詐欺、アクセス装置詐欺、身元盗難と陰謀の悪化などの理由で、米国司法省史上最大のID盗難とコンピューターのハッキング調査であると考えられる犯罪で、他の10人の被告が起訴されたか、罪で告訴されたとDOJは火曜日に発表した。働いていたゴンザレスの起訴状米国のシークレットサービスの情報提供者として、この計画に従事しているとされているが、ID盗難操作についてのいくつかの光を当てる。泥棒は、一回の訪問で現金自動預け払い機から数万ドルを得るために使われた空白のカードにクレジットカード情報をエンコードすることができたと裁判所の文書は述べています。
裁判所文書に詳述されている攻撃のうち
- 2003年頃、Gonzalezらは、BJのWholesale Clubストアで暗号化されていないワイヤレスアクセスポイントを見つけました。 BJは2004年初めにコンピュータネットワークの違反を報告しました。2004年に、ID盗難の他のメンバーがマイアミのOfficeMaxワイヤレスアクセスポイントを侵害し、クレジットカードのデータを盗むことができました。 2006年の法執行官がOfficeMaxをデータ侵害の犠牲者と認定した後、同社は外部監査人を雇って調査を行い、セキュリティ違反の兆候は見られなかったと述べた。 OfficeMaxの広報担当者は、すぐにメッセージを求めるメッセージを返さなかった。
- 2005年の7月、9月、11月に、ID窃盗のリングメンバーChristopher ScottがマイアミのMarshalls部門の物語でTJXが運営する2つの無線アクセスポイントを侵害したと主張した。 Scott氏は、マサチューセッツ州フレーミングハムにクレジットカード情報を格納しているTJXのサーバーにコンピュータコマンドを繰り返し送信するアクセスを利用しました。 TJ Maxx、HomeGoods、その他の小売店を所有するTJXは、2007年1月にデータ違反を報告した。サイバーセキュリティ専門家は、被害者が攻撃から学ぶことができると心配している企業は、個人情報を保存している企業は、クレジットカードデータベースの暗号化、ネットワーク内の疑わしい行為の通知、データへのアクセス権の制限など、データセキュリティの包括的なアプローチを取る必要があるとセキュリティ専門家は述べています。
コンピュータセキュリティベンダーのアプリケーションセキュリティ担当バイスプレジデント、テッド・ジュリアン氏は、機密データがネットワーク上にあることを知っていることを確認しています。多くの企業では、IT担当者の売上高やその他の要因によって、機密データがどこに格納されているかわからないという。サイバーセキュリティベンダーRSAのSam Curry副社長は、企業はリスクを分析し、問題を解決するためのターゲットを絞ったアプローチを取る必要がある、と述べている。Julian氏は、近年、攻撃がより組織化されたターゲットキャンペーンに変わったと述べた。 「ハッカーたちはもっと集中しており、38のドアを試してみると100のドアを試してみる」と彼は語った。 「ロックされていないものが見つかるとすぐに、彼らはデータベースに向かいつつあります。私はたくさんのIT人が新しいセキュリティ対策ソフォスのシニアテクノロジーコンサルタントのグレアム・クルーリー氏は、企業はデータの保存の必要性とデータの保管期間について検討する必要があると述べています。
企業はあまりにも境界防御に長年集中してきましたが、ネットワーク内のデータを保護することについて、カリー氏は述べた。小売業者や他の企業は、このような脅威を真剣に目覚めさせる必要があります。 「悪意のある人への費用がそれほど高くないようにする」と述べた。火曜日に発表された起訴は、サイバーセキュリティについての意識を高める可能性があるとカレー氏は付け加えた。そして、いくつかの有名な有罪判決が犯罪者を抑止する役割を果たす可能性があります。
しかし、カリーとクルーリーは、システムが侵害された小売業者の指を指摘することを拒否しました。 Cluley氏によると、企業の顧客はセキュリティ慣行を改善するためにそれに圧力をかけなければならないが、企業も犠牲者だという。Cluley氏は、「企業をあまりにも凌駕するのは間違いだ」と述べた。 「競合する企業は、どれだけ多くの人が心を動かすことができ、「これは決して組織内では起こり得ない」と言っているので、あまりにも恥ずべきではないはずだ」と述べた。しかし、米国連邦取引委員会は、 2005年3月にデータ侵害が報告されたID窃盗犯の標的となった靴小売チェーンTJX、BJのWholesaleおよびDSWに対して、DSWはクレジットカード番号が140万件を超え、損害額は650万ドルから950万ドル
2005年半ば現在、BJはデータ侵害に関連して1300万ドルの未払い請求を報告しています。
FTCは、3つの小売業者が攻撃に対して保護するための適切なセキュリティ対策を講じなかったと主張している。
FTCはBJとの和解を発表した。 2005年6月には、包括的な情報セキュリティプログラムを実施し、20年にわたり独立した第三者のセキュリティ専門家による監査を受ける必要がありました。代理店は、2005年12月にDSWと、今年3月にTJXと同様の和解を発表した。
FTCは、DOJによってデータ侵害被害者として特定された6社に対して苦情を提起していない。 FTCが進行中の捜査についてコメントしていないため、FTCの関係者は、これらの企業に対する苦情の可能性についてはコメントすることができなかった、と述べた。
FTCの関係者は、Dave and Buster、OfficeMax、Barnes&Noble、Boston Market、Sports Authority、