سیکیورٹی سے ملنے والی معلومات کے مطابق ، بدنام زمانہ ٹارگٹ سیکیورٹی کی خلاف ورزی جس نے گذشتہ سال کے آخر میں دسیوں لاکھوں امریکیوں کی مالی اور ذاتی معلومات کو بے نقاب کیا تھا ، اس کا نتیجہ کمپنی کی معمول کی کارروائیوں اور بحالی کے کاموں کو ادائیگی کے اہم کاموں سے الگ نیٹ ورک پر رکھنے میں ناکام رہا تھا۔ محقق برائن کربس ، جنھوں نے دسمبر میں پہلی بار اس خلاف ورزی کی اطلاع دی تھی۔
ہدف نے پچھلے ہفتے وال اسٹریٹ جرنل کو انکشاف کیا تھا کہ اس کے نیٹ ورک کی ابتدائی خلاف ورزی کا پتہ کسی تیسری پارٹی کے فروش سے چوری شدہ معلومات کو لاگ ان کرنے کے لئے ہوا ہے۔ مسٹر کربس نے اب اطلاع دی ہے کہ سوال میں فروخت کنندہ فروزیو مکینیکل سروسز تھا ، ایک شارپز برگ ، PA پر مبنی فرم تھا جس نے ریفریجریشن اور HVAC تنصیب اور دیکھ بھال فراہم کرنے کے لئے ٹارگٹ سے معاہدہ کیا تھا۔ فضائیہ کے صدر راس فازیو نے تصدیق کی کہ تحقیقات کے ایک حصے کے طور پر اس کمپنی کا دورہ امریکی خفیہ سروس نے کیا تھا ، لیکن ابھی تک اس نے اپنے ملازمین کو تفویض کردہ لاگ ان کی اسناد میں ملوث ہونے کے بارے میں کوئی عوامی بیان نہیں دیا ہے۔
فاجو کے ملازمین کو توانائی کے استعمال اور ریفریجریشن ٹمپریچر جیسے پیرامیٹرز کی نگرانی کے لئے ٹارگٹ کے نیٹ ورک تک دور دراز تک رسائی دی گئی۔ لیکن چونکہ ٹارگٹ مبینہ طور پر اس کے نیٹ ورک کو الگ کرنے میں ناکام رہا ہے ، اس کا مطلب یہ ہے کہ جاننے والے ہیکرز خوردہ فروش کے حساس مقام برائے فروخت (POS) سرورز تک رسائی حاصل کرنے کے لئے وہی تیسری پارٹی کے ریموٹ اسناد کا استعمال کرسکتے ہیں۔ ابھی تک نامعلوم ہیکروں نے اس خطرے سے فائدہ اٹھایا کہ میلویئر کو زیادہ سے زیادہ ٹارگٹ کے پی او ایس سسٹم پر اپ لوڈ کیا جاسکے ، جس نے اس کے بعد نومبر کے وسط اور دسمبر کے وسط کے درمیانی عرصے میں اس اسٹور پر خریداری کرنے والے 70 ملین صارفین کی ادائیگی اور ذاتی معلومات حاصل کیں۔
اس انکشاف نے ٹارگٹ ایگزیکٹوز کے ذریعہ واقعہ کی ایک نفیس اور غیر متوقع سائبر چوری کی حیثیت سے اس واقعہ کی خصوصیات پر شکوک و شبہات کا اظہار کیا ہے۔ اگرچہ اپلوڈڈ میلویئر واقعی کافی پیچیدہ تھا ، اور جب کہ فاگو کے ملازمین لاگ ان کی اسناد کی چوری کی اجازت دینے میں کچھ قصور وار ہیں ، لیکن یہ حقیقت باقی ہے کہ اگر ٹارگٹ نے حفاظتی ہدایات پر عمل پیرا ہوتا اور ادائیگی کے سرورز کو الگ تھلگ رکھنے کے لئے اس کے نیٹ ورک کو الگ کردیا تو نیٹ ورکس سے جو نسبتا broad وسیع رسائی کی اجازت دیتے ہیں۔
سیکیورٹی فرم فائر مین کے بانی اور سی ٹی او جوڈی برازیل نے کمپیوٹرورلڈ کو سمجھایا ، “اس کے بارے میں کچھ بھی پسند نہیں ہے۔ ہدف نے تیسرے فریق کو اپنے نیٹ ورک تک رسائی کی اجازت دینے کا انتخاب کیا ، لیکن وہ اس رسائی کو صحیح طریقے سے محفوظ کرنے میں ناکام رہا۔
اگر دوسری کمپنیاں ٹارگٹ کی غلطیوں سے سبق حاصل کرنے میں ناکام ہوجاتی ہیں تو ، صارفین اس سے بھی زیادہ خلاف ورزیوں کی توقع کرسکتے ہیں۔ سی ٹی او اور رسک مینجمنٹ فرم بٹ سائٹ کے شریک بانی اسٹیفن بوئیر نے وضاحت کرتے ہوئے کہا ، "آج کی ہائپر نیٹ ورک ورلڈ دنیا میں کمپنیاں زیادہ سے زیادہ کاروباری شراکت داروں کے ساتھ ادائیگی کی وصولی اور پروسیسنگ ، مینوفیکچرنگ ، آئی ٹی اور انسانی وسائل جیسے کاموں کے ساتھ کام کر رہی ہیں۔ حساس معلومات تک رسائی حاصل کرنے کے لئے ہیکروں کو اندراج کا سب سے کمزور نقطہ نظر آتا ہے ، اور اکثر یہ نقطہ شکار کے ماحولیاتی نظام میں ہوتا ہے۔
خلاف ورزی کے نتیجے میں ابھی تک ہدف کے تحت ادائیگی کارڈ انڈسٹری (پی سی آئی) کے حفاظتی معیارات کی خلاف ورزی کرنے کا پتہ نہیں چلا ہے ، لیکن کچھ تجزیہ کاروں نے اس کمپنی کے مستقبل میں پریشانی کا امکان ظاہر کیا ہے۔ اگرچہ انتہائی سفارش کی گئی ہے ، پی سی آئی کے معیارات کے تحت تنظیموں کو اپنے نیٹ ورک کو ادائیگی اور عدم ادائیگی کے افعال کے درمیان قطع کرنے کی ضرورت نہیں ہے ، لیکن اس میں کچھ سوال باقی ہے کہ آیا ٹارگٹ کے تیسرے فریق تک رسائی نے دو عنصر کی توثیق کی ، جو ایک ضرورت ہے۔ پی سی آئی کے معیارات کی خلاف ورزی کے نتیجے میں بڑے جرمانے ہوسکتے ہیں ، اور گارٹنر کے تجزیہ کار ایوہاہ لیٹن نے مسٹر کربس کو بتایا کہ اس خلاف ورزی پر کمپنی کو 420 ملین ڈالر تک کے جرمانے کا سامنا کرنا پڑ سکتا ہے۔
حکومت نے بھی اس خلاف ورزی کے جواب میں کارروائی شروع کردی ہے۔ اوبامہ انتظامیہ نے رواں ہفتے سخت سائبر سیکیورٹی قوانین کو اپنانے کی سفارش کی ، جس میں مجرموں کے لئے سخت سزائوں اور ساتھ ہی کمپنیوں کے تحفظ کی خلاف ورزیوں کے پیش نظر صارفین کو مطلع کرنے کے لئے وفاقی تقاضوں کو بھی لایا جائے اور جب سائبر ڈیٹا کی پالیسیوں کی بات کی جائے تو وہ کم سے کم طریقوں پر عمل کریں۔
