PCI DSS 合规 暴露支付卡信息 性和 eSkimming（客户端）安全性案例研究
作者：Source Defense

俄勒冈动物园最近于 2024 年 8 月 22 日披露的数据泄露事件，清楚地提醒人们在数字交易中采取强有力的网络安全措施至关重要。这起事件可能泄露了超过 117,000 名游客的支付卡详细信息，凸显了组织在遵守支付卡行业数据安全标准 (PCI DSS) 要求和防范复杂的电子窃取（客户端）攻击方面面临的持续挑战。

违约及其影响

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>时间范围：2023 年 12 月至 2024 年 6 月
发现号：2024 年 6 月 26 日
受影响的数据：姓名、卡号、CVV 代码和有效期
攻击媒介：受感染的在线售票系统
此次入侵事件可追溯 手机号码数据 到动物园第三方供应商售票系统内的未经授权活动，具有传统电子盗刷攻击的所有特征。这种攻击越来越普遍，正如Coalfire 论文中关于保护信用卡支付流程的整体方法所强调的那样——Visa 和 Verizon 等信用卡协会的反复警告以及 PCI 安全标准委员会将电子盗刷控制纳入 PCI DSS v.4.0 的行动就是明证

PCI DSS v4.0 合规性和违规行为

鉴于 PCI DSS v4.0 的截止日期（2025 年 3 月）即将到来，此次违规行为发生的时间尤为重要。PCI DSS v4.0 中的两个关键要求与此事件直接相关：

要求 6.4.3：要求全面管理消 强调可持续性和道德营销 费者浏览器中调用的所有支付页面脚本，包括库存、授权、完整性保证以及每个脚本业务目的的书面说明。要求 11.6.1：要求实施一种机制来检测并警告在客户浏览器中呈现的支付页面的 HTTP 标头和 HTML 内容的未经授权的修改，并根据风险分析每周或更频繁地进行检查。
eSkimming（客户端）安全的作用
自 2015 年 10 月 EMV（Europay、Mastercard 和 Visa）责任转移以来，信用卡欺诈已显著转向电子商务，将欺诈交易的责任从发卡机构转移到尚未升级到 EMV 兼容系统的商家。这一趋势凸显了实施强大的 eSkimming（客户端）安全措施的重要性，特别是对于在线交易中处理敏感财务数据的组织而言。随着网络犯罪分子调整其策略以针对数字支付系统中的漏洞，企业必须优先考虑全面保护其 Web 应用程序和客户数据入口点，以减轻电子商务领域不断演变的风险。

与此次入侵事件相关的、强调网络安全最佳实践的关键点包括：

整体方法：需要一种涵盖服务 007 厘米 器端和客户端安全的综合策略来保护敏感数据。
实时威胁检测：能够检测和减轻威胁的实时解决方案至关重要，其中许多 eSkimming 攻击都是“缓慢而低速的”，并且会持续很长一段时间，仅仅是因为这些类型的解决方案并未得到广泛使用。
第三方脚本管理：迫切需要管理和控制第三方脚本，这可能是俄勒冈动物园漏洞中的攻击媒介。
预防措施和最佳实践
为了防止类似事件发生，组织应考虑以下事项：

Source Defense 为这些挑战提供了强大的解决方案：

实时保护： Source Defense 的技术提供实时监控和防御客户端攻击的能力，使组织能够在威胁发生时检测并缓解威胁。
第三方脚本管理：通过提供对第三方脚本的细粒度控制，Source Defense 可帮助组织降低其网站上运行的外部代码所带来的风险。
合规性支持： Source Defense 的解决方案符合 PCI DSS 要求，特别是 6.4.3 和 11.6.1，可帮助组织保持合规性同时增强其安全态势。
行为分析：利用先进的行为分析，Source Defense 可以识别和阻止可能逃避传统安全措施的恶意活动。
减轻运营负担：通过自动化客户端安全的诸多方面，Source Defense 可帮助组织增强保护，而不会显著增加其运营工作量。