TJX效应

　　美国有史以来最大客户资料劫案的细节逐渐浮出水面。

　　美国零售业巨头TJX公司(TJX Companies， Inc.下称TJX公司)无疑希望2007年快点结束。作为T.J.Maxx、玛莎百货(Marshall’s)和另几家折扣零售连锁店的母公司，TJX公司的年营业额达到170亿美元。然而2007年，这家公司一直被美国历史上最大的客户资料外泄事件弄得焦头烂额。日前，该案件的细节正在浮出水面。

　　2006年12月，TJX公司向执法机关举报说，4，500多万名客户的个人资料被黑客盗走。从那以后，至少沃尔玛公司(Wal-Mart，下称沃尔玛)受到牵连，遭受了上百万美元的损失。TJX公司则耗费2，000多万美元来调查外泄事件，通知客户，并聘请律师应对来自客户和金融机构的诉讼。如果TJX公司输掉官司，将引发成千上万的受损客户对其起诉。

　　而“TJX效应”远不止于此：已持续多年的数据外泄问题不但使整个零售业遭到质疑，而且考验着所有接受刷卡消费的商业领域，要求它们更有效地保护客户信息。以TJX事件为契机，立法者们正在推动有关数据库安全的议案。

　　当事公司和调查人员没有公布事件细节。最近的一次官方消息来自TJX公司于2007年6月做的一次条例陈诉。TJX公司不清楚“黑客行动由谁发起，黑客人数有几个，是一个团伙持续多次侵入还是几个团伙分别独立侵入。”然而，来自公司内外的消息还是透露了一些重要细节。

　　《InformationWeek》了解到，在这个事件中，看管不严的店内电脑难辞其咎，它们是公司IT系统的门户。一位熟悉调查情况但希望隐瞒身份的人士透露，很多TJX零售店内的电脑可以让人们在网上申请工作，同时，因为没有防火墙的保护，可以通过它们直接连上公司网络。这位人士解释说：“黑客打开电脑后部，用USB盘把黑客软件装到这些电脑上。”2007年3月，在与美国证券与交易委员会的一次陈诉中，TJX公司承认在电脑系统中发现了“可疑软件”。

　　这位人士还透露，通过USB盘上的应用程序，盗贼们可以控制这些电脑，把它们变成连接到TJX公司网络的远程终端，而TJX公司的主网络防火墙没有进行抵御店内电脑恶意流量的设置。通常，店内电脑的USB接口是用来连接鼠标或打印机的。这些店内电脑“不应该被连到公司局域网，USB接口应该被断开。”他说。

　　2007年5月，《华尔街日报》(The Wall Street Journal)提出了一个新的切入点。据其报道，在明尼苏达州圣保罗市一家玛莎商场的停车场内，黑客们运用了名为“驾驶攻击”(wardriving)的无线数据库侵入工具，并且利用有线等化加密(Wired Equivalent Privacy)无线安全协议的缺陷，成功连接上一个防护不严的Wi-Fi网络。

　　《华尔街日报》采访了熟悉调查情况的人士，而TJX公司没有发表评论。马克·拉伍里斯(Mark Loveless)是网络接入控制商Vernier公司(Vernier networks)的高级安全研究员，他的网名是“Simple Nomad”。他认为情况可能是这样的：网络黑客们开着车在店铺林立的商业区逡巡，车里有一台笔记本电脑、一个望远镜天线和一个802.11的无线网卡。TJX公司也许并不是他们的头号目标，但他们发现居然可以连接上TJX公司的内部网，而且还能利用得到的信息进一步深入TJX公司的IT系统。“这个诱惑让人无法拒绝。”拉伍里斯说。

　　TJX公司承认有些数据是在支付卡审核过程中被盗的，在这个过程中，未经加密的数据被传输到发卡机构。一种名为“侧录”(skimming)的黑客技术可能在这里派上了用场。2007年早些时候，在3家罗德岛和1家马萨诸塞的24小时Stop & Shop店里，238个支付卡账号被盗，窃贼使用的就是“侧录”的变种技术。

　　盗贼们在Stop & Shop店是这么干的：他们进入一家商店，其中一个人吸引收银员的注意力，其他人乘机偷偷将收银台上的密码输入器换成事先改装好的同样设备。美国检察署罗德岛分区介绍说，这个动作只需要12秒就能完成。几天后，盗贼们回到商店，将原来的密码输入器换回去，就能获得改装设备上存储的账户信息了。

　　TJX称第一次发现安全问题是在2006年12月18日。几天后，通用动力公司(General Dynamics)和国际商用机器公司(IBM)的应急响应专家证实，网络入侵确实发生了。

　　然而一些金融机构说，早在2006年11月他们就注意到信用卡诈骗行为有所增加，也就是说黑客攻击早于TJX公司报告的日期，甚至有可能比引起金融机构注意的日期还要早。一家信用联盟的首席财务官(CFO)说：“我们是在2007年1月被维萨公司(Visa，Inc.)告知TJX事件的，当时也从新闻中得知这一消息。”这家信用联盟向有可能已被盗取个人信息的客户重新发放了支付卡。

　　TJX公司称，“鉴于黑客使用的技术类型，以及公司在日常营业中已删除交易数据”，公司将无法指认“有多少信息被窃”。TJX公司表示，失窃数据包括4，570万个支付卡的账户信息，尽管TJX公司称其中75%的信用卡要么在被盗时已经过期，要么被盗信息不包括支付卡磁条上方的安全码。据TJX公司称，失窃的还有45.5万名客户的驾驶证号码、军人证号码、身份证号码，以及他们的姓名和地址。

　　标准的作用

　　早在TJX公司公布数据外泄事件2年前，美国运通公司(American Express，下称运通公司)、万事达卡公司(Master Card，下称万事达)、维萨国际组织(Visa International)和其他几家信用卡发卡机构就提出了《支付卡行业(PCI)数据安全标准》。标准规定，为了有效保护持卡人数据，接受刷卡消费的公司应该保障网络安全，在存储和传输数据时使用加密等防范措施，及时发现和修补软件漏洞，并且加强对网络接入的控制。

　　当然，只有在零售商严格遵守的情况下，这一标准才有助于提高网络安全性。TJX公司的2006年度报告称，它在2003年9月2日以后已“基本上”停止储存磁条数据；在2004年4月7日以后已“基本上”对所有的支付卡、支票交易和个人信息进行加密；在2006年4月3日以后已“基本上”对支付卡密码、部分支付卡交易和部分支票交易的信息进行了屏蔽。

　　然而，维萨公司在2007年2月曾指出，在那些发行信用卡并管理维萨卡交易的金融机构，多份文件显示出TJX公司仍在存储信用卡的卡号、截至日期和验证码。这种做法违反了PCI的规定。在加密方面，TJX的年度报告称：“我们认为黑客破解了我们使用的加密软件的运算法则。”

　　关于无线网络安全，PCI规定传输持卡人数据的无线网络必须运用Wi-Fi Protected Access (WPA 或 WPA2)、IPsec VPN或者SSL/TLS技术，对传输过程进行加密。标准写道：“绝不要只依赖于有线等效加密(WEP)来保护机密信息和无线局域网。”

　　阳光之州

　　其他零售商已经开始感觉到“TJX效应”。2007年3月，一些被盗数据出现在佛罗里达州。盗贼们用被盗的TJX公司的客户信息伪造信用卡，然后在佛罗里达州50个县的沃尔玛超市诈骗了大约800万美元的购物卡。2007年7月，美国特勤局宣布，另一起南佛罗里达州的诈骗团伙案也使用了被盗的TJX公司的客户信息。

　　银行和交易处理商们正在据理力争，拒绝为第三方的欠安全行为买单。几家金融机构一反惯例地对TJX公司提出起诉，指责这家行为疏忽的零售商未能安全地储存持卡人信息，以及未能安装防火墙以保护金融数据库。马萨诸塞州银行家协会(Massachusetts Bankers Association)对TJX公司进行了共同起诉，要求TJX公司承担“数以千万美元计”的损失。康涅狄格州银行家协会(Connecticut Bankers Association)和缅因州社区银行协会( Maine Association of Community Banks)加入马萨诸塞州，成为共同起诉人。TJX公司的总部位于马萨诸塞州的弗拉明汉(Framinghan)。

　　虽然官司告的是TJX公司，对于广大零售商们来说，这也绝不是好消息。市民银行(Citizens Bank)负责支付卡风险防御的副总裁马克·马彻斯卡(Mark Macheska)说：“通常银行不会对商户进行起诉，而是由银行承担全部损失。”成千上万的市民银行客户的支付卡信息有可能在TJX事件中遭到泄漏。

　　立法者们借助TJX事件来推动数据安全立法。2007年8月1日，明尼苏达州《塑料卡安全法案》(Plastic Card Security Act)生效，该州率先将数据外泄的成本从金融机构转移到行为不当的零售商身上。该法律规定，如果明尼苏达州的商家在交易授权48小时后还储存客户密码、社会安全号或磁卡信息，则被视为违法。惩罚措施将于明年生效。如果商家被发现私自保存金融数据并导致数据外泄，那么明尼苏达州的金融机构，例如银行和信用卡联盟，就可以起诉他们。

　　马萨诸塞州不久前通过了《数据外泄告知法》，要求机构在数据失窃后及时通知持卡人。此前已有30多个州颁布了类似法律。但并非每个州都在匆忙立法。2007年5月，德克萨斯州就否决了一项有可能促使商家有效保护客户数据的议案。

　　就公众对数据安全管理的耐心而言，正如明尼苏达州的法律条文写的，TJX公司数据外泄事件是“骆驼背上的最后一根稻草”。贝宝公司(PayPal，下称贝宝)首席信息安全官(CSO)迈克尔·巴雷特(Michael Barrett)说：“如果其他州不颁布类似法律，我们将等待下一起事故发生。”

　　悖论

　　关于“TJX效应”，有一个有趣的悖论：当10多个资料遭窃的客户起诉TJX公司时，更多人仍旧在这家商店购物。

　　金融分析师继续看好TJX公司的股价，因为2008年第一季度的销售量达到41亿美元，比前一年同期增长6%。纯收入为1.621亿美元，比前一年同期降低了不到2%——考虑到TJX公司为外泄事件花费了2，000万美元，这个成绩不算坏。

　　2007年2月，Javelin 战略研究公司(Strategy & Research，下称Javelin)对1，200名持卡人进行了一项调查。据Javelin的分析员玛丽·蒙那罕(Mary Monahan)介绍，四分之三的受访者表示，不会继续在数据库被盗的公司购物，84%的受访者说，他们会在有效监管数据安全的公司购物。但实际情况并非如此。ChoicePoint公司(ChoicePoint Inc.)的公众与消费者事务官员詹姆斯·李(James Lee)说：“美国是个非常讲求方便的社会。”2005年，提供认证和信用证确认服务的ChoicePoint公司报告说，身份盗贼窃取了大约16.3万条客户记录。

　　也有报告显示，身份诈骗行为不像人们想的那样猖獗。美国联邦审计总署前不久公布了一份调查报告，该报告对24件数据外泄事件进行了分析，就掌握的证据来看，其中只有3件外泄事件导致了利用被盗数据进行诈骗的行为，只有1件导致未经授权而伪造账户的行为。联邦审计署的报告称，对于其他18件外泄事件，“没有明确证据显示它们被用来进行盗用身份犯罪，对于其余两件，联邦审计署缺乏足够信息作出判定。”

　　分水岭事件

　　然而，由于TJX公司失窃数据量太大，而且失窃数据开始在金融诈骗案中出现，人们的看法可能会有所改变。“TJX失窃案是个分水岭事件。”贝宝的巴雷特说。客户数据是被盗而不是丢失，无疑有人企图利用这些数据获得经济利益。“信息外泄已经成为非常重要的运营风险，几乎没有什么风险比这更糟糕的了。”巴雷特说。

　　全国各地的公司老总们是否为“TJX效应”感到担心呢？“这是绝对的。”荷兰国际集团(ING)美国金融服务部负责技术风险管理的主管安德烈·高德(Andre Gold)说。高德还曾担任大陆航空公司的信息安全总监。“我的老板非常关心这类信息，因为他们要确保同样的事情不会在我们身上发生。”最重要的教训是：找到你的公司或机构中的虚弱环节，如果你自己不发现的话，别人会找到它们的。

　　ChoicePoint公司的李说，TJX公司数据外泄事件将促使商户们对保存客户数据的情况和保护方法更加透明化。目前，如果某个消费者希望知道ChoicePoint公司储存了哪些与他有关的信息，公司将制作一份人工报告并邮寄给消费者。针对TJX事件引发的客户需求，李正在加速进行系统自动化的工作，以便为提出要求的消费者自动生成个人信息存储情况报告。据他介绍，这个项目可能需要26周的时间来完成。

　　全国零售联盟则倡议，采取几项措施来预防类似的数据外泄事件。该联盟的执行委员会由8个会员公司的领导人组成，其中包括Ethan Allen Interiors、J.C.Penny和Liz Claiborne的首席执行官(CEO)。联盟的首席信息官(CIO)戴夫·霍根(Dave Hogan)建议商家只保留与交易本身有关的信息——商店代码、时间与日期、注册号、授权号，不要为了防止退货争端和处理退款而在交易完成后保留信用卡信息。“这么做即使不能完全阻止支付卡诈骗行为，也能将风险降到最低。”他说。

　　零售商们至少应该要求客户输入借记卡或信用卡的密码。霍根说，这不能解决数据失窃问题，却能将风险降低。如果信用卡公司最终把磁卡替换成需要密码的芯片卡就更好了。

　　对于其他人来说，教训很简单。“严肃对待PCI的认证。”贝宝公司的巴雷特说。为了得到认证印章，你必须接受合格安全性评估商(Qualified Security Assessor)和认证扫描厂家(Approved Scanning Vendor)对IT系统进行检查，他们是运通卡、Discover卡、JCB卡、万事达卡国际组织和维萨国际(全部都是PCI安全标准委员会的发起成员)认可的公司。检查员们以PCI数据安全标准为准绳，对公司的IT系统进行检查。目前已有十几家合格安全性评估商和认证扫描厂家，其中包括德勤会计师事务所(Deloitte & Touche)和Dimension Data公司。

　　不论如何，“TJX效应”给了零售商们一个根本的教训：如果零售商没有储存客户信息的话，盗贼们是偷不走它的。

　　TJX黑客行动：几种可能的作案手法

　　商店收银台 盗贼将USB设备连接到商店的网上招聘终端，借此绕过TJX公司的网络防火墙并将软件安装到TJX公司的电脑系统中。

　　“驾驶防御”技术 盗贼在商店外面，利用名为“驾驶攻击”的移动接入技术连接到防卫不严的无线网络，并由此进入TJX公司的电脑系统。

　　密码输入器 盗贼偷偷地将收银台上的密码输入器换成事先改造好的同样设备，一段时间后再设法换回来，借此获得传输过程中的支付卡数据。

　　TJX安抚银行业

　　日前，TJX公司与维萨美国公司(Visa USA)达成协议。据此协议，该公司将为一些银行建立一笔4，090万美元的基金，这些银行发行的信用卡曾在TJX去年早些时候发生的安全漏洞中落入魔掌。这是这家折扣零售商自数据漏洞事件后达成的第二项协议。在此次数据失窃案中，至少有 4，570万信用卡记录落入犯罪分子之手。去年9月，TJX曾同意向其子公司T.J.Maxx、Marshalls、以及其他旗下商店蒙受损失的客户，以优惠券的形式(之后改为现金)支付700万美元。同时，该公司还向客户承诺，将向之提供销售折扣。

　　这项4，100万美元的协议至少需要经过所涉及银行中的80%通过才行。而且，这些银行还必须承诺，不再进一步追究TJX的法律责任。“我们相信，对于解决此类问题而言，这是一项公平交易。同时，我们也期待有更多的信用卡发行商能够接受此类提议。”TJX的首席执行官(CEO)卡罗尔·梅罗维兹(Carol Meyrowitz)表示。此案并未给TJX带来什么财务损失。

　　但是，安全领域的研究人员对此类解决方案并不满意。因为这不能迫使TJX公布数据漏洞案的细节。“应当对所发生的一切进行深入的案例分析才是，”信息安全公司IPLocks首席技术官(CTO)指出，“这样做并不会花费多少成本，而且整个零售业将因此而受益，当然，最终的受益者是消费者。”