Клиент: крупная сеть розничных магазинов с тысячами POS-терминалов.
Исследователь/атакующие: взломали сетевые учётки подрядчика по HVAC (системам отопления/вентиляции), у которого был доступ в корпоративную сеть Target для удаленного управления термостатами.
1. Учетные данные подрядчика — слабые/перепользуемые — дали вход в сеть.
2. Злоумышленники переместились латентно по внутренней сети, нашли сегменты с POS.
3. Загружен и запущен POS-малварь, перехватывавший данные карт из памяти (RAM scraping).
4. Экфильтрация — данные собирались и отправлялись на внешние C2-серверы.
Компрометация ≈110 млн записей (платежи, контактные данные), подорвано доверие клиентов, многомиллионные убытки и юридические издержки; перестановки в руководстве и пересмотр практик безопасности в ритейле.
Жёсткая сегментация сети, MFA и уникальные учетные данные для подрядчиков, мониторинг east-west трафика, контроль доступа по принципу least-privilege, защита памяти POS-процессов (tokenization), быстрый инцидент-ответ и уведомление клиентов.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3👍1👾1