PCI DSS 合规 暴露支付卡信息 性和 eSkimming(客户端)安全性案例研究
作者:Source Defense
俄勒冈动物园最近于 2024 年 8 月 22 日披露的数据泄露事件,清楚地提醒人们在数字交易中采取强有力的网络安全措施至关重要。这起事件可能泄露了超过 117,000 名游客的支付卡详细信息,凸显了组织在遵守支付卡行业数据安全标准 (PCI DSS) 要求和防范复杂的电子窃取(客户端)攻击方面面临的持续挑战。
违约及其影响
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>时间范围:2023 年 12 月至 2024 年 6 月
发现号:2024 年 6 月 26 日
受影响的数据:姓名、卡号、CVV 代码和有效期
攻击媒介:受感染的在线售票系统
此次入侵事件可追溯 手机号码数据 到动物园第三方供应商售票系统内的未经授权活动,具有传统电子盗刷攻击的所有特征。这种攻击越来越普遍,正如Coalfire 论文中关于保护信用卡支付流程的整体方法所强调的那样——Visa 和 Verizon 等信用卡协会的反复警告以及 PCI 安全标准委员会将电子盗刷控制纳入 PCI DSS v.4.0 的行动就是明证
PCI DSS v4.0 合规性和违规行为
鉴于 PCI DSS v4.0 的截止日期(2025 年 3 月)即将到来,此次违规行为发生的时间尤为重要。PCI DSS v4.0 中的两个关键要求与此事件直接相关:
要求 6.4.3:要求全面管理消 强调可持续性和道德营销 费者浏览器中调用的所有支付页面脚本,包括库存、授权、完整性保证以及每个脚本业务目的的书面说明。要求 11.6.1:要求实施一种机制来检测并警告在客户浏览器中呈现的支付页面的 HTTP 标头和 HTML 内容的未经授权的修改,并根据风险分析每周或更频繁地进行检查。
eSkimming(客户端)安全的作用
自 2015 年 10 月 EMV(Europay、Mastercard 和 Visa)责任转移以来,信用卡欺诈已显著转向电子商务,将欺诈交易的责任从发卡机构转移到尚未升级到 EMV 兼容系统的商家。这一趋势凸显了实施强大的 eSkimming(客户端)安全措施的重要性,特别是对于在线交易中处理敏感财务数据的组织而言。随着网络犯罪分子调整其策略以针对数字支付系统中的漏洞,企业必须优先考虑全面保护其 Web 应用程序和客户数据入口点,以减轻电子商务领域不断演变的风险。
与此次入侵事件相关的、强调网络安全最佳实践的关键点包括:
整体方法:需要一种涵盖服务 007 厘米 器端和客户端安全的综合策略来保护敏感数据。
实时威胁检测:能够检测和减轻威胁的实时解决方案至关重要,其中许多 eSkimming 攻击都是“缓慢而低速的”,并且会持续很长一段时间,仅仅是因为这些类型的解决方案并未得到广泛使用。
第三方脚本管理:迫切需要管理和控制第三方脚本,这可能是俄勒冈动物园漏洞中的攻击媒介。
预防措施和最佳实践
为了防止类似事件发生,组织应考虑以下事项:
Source Defense 为这些挑战提供了强大的解决方案:
实时保护: Source Defense 的技术提供实时监控和防御客户端攻击的能力,使组织能够在威胁发生时检测并缓解威胁。
第三方脚本管理:通过提供对第三方脚本的细粒度控制,Source Defense 可帮助组织降低其网站上运行的外部代码所带来的风险。
合规性支持: Source Defense 的解决方案符合 PCI DSS 要求,特别是 6.4.3 和 11.6.1,可帮助组织保持合规性同时增强其安全态势。
行为分析:利用先进的行为分析,Source Defense 可以识别和阻止可能逃避传统安全措施的恶意活动。
减轻运营负担:通过自动化客户端安全的诸多方面,Source Defense 可帮助组织增强保护,而不会显著增加其运营工作量。