Het megadatalek van Target twee jaar later

Twee jaar geleden eindigde het feestseizoen voor het Amerikaanse warenhuis Target in een nachtmerrie. Op 18 december 2013 werd bekend dat een bestand van 11 gigabyte met de namen, (e-mail) adressen en kaartgegevens van 70 miljoen klanten op straat lag. Wat heeft Target gedaan om de schade te herstellen?

Het staat nog steeds te boek als een van de grootste datalekken uit de geschiedenis. En het heeft de ogen van consumenten wereldwijd geopend, zegt John Kindervag van Forrester tegen techblog ZDNet. Consumenten zijn sindsdien veel voorzichtiger geworden met credit card gegevens.

Tot op de dag van vandaag is niet in detail bekend hoe het lek heeft kunnen gebeuren en wat precies is ondernomen om herhaling te voorkomen. Wel dat de hackers al op 27 november 2013 de systemen van Target wisten binnen te dringen en een wachtwoord wisten te ontvreemden van een Target partner Fazio Mechanical. Daarmee wisten ze uiteindelijk door te dringen tot alle servers van het Target netwerk. Twee weken lang konden ze zo ongezien credit card informatie verzamelen om die aan de zwarte markt te verkopen.

Meteen na het incident, maar ook gedurende 2014, werd de beveiliging opgevoerd en uiteindelijk een nieuw beveiligingsteam aangesteld onder leiding van CIO Bob DeRodes en veiligheidsexpert Brad Maiorino.

Daarnaast introduceerde Target betaalterminals voor creditcardbetalingen met chip. Die moesten de verouderde kaarten met magneetstrip vervangen. Door het gebruik van tokens zijn de betalingen een stuk veiliger geworden.

Target is ook lid geworden van cyberveiligingsclubs Financial Services Information Sharing Analysis Center (ISAC) en het Retail Cyber Intelligence Sharing Center. Daardoor kan men beter informatie uitwisselen en anticiperen op mogelijke aanvallen.

De grootste zwakheid was achteraf gezien dat Target geen gesegmenteerd netwerk had, waardoor hackers makkelijk van het ene systeem naar het andere konden komen. Dat is allemaal veranderd, compleet met firewalls, goede monitoring en dubbele authenticatie. Ook krijgen nog maar weinig partners toegang tot het systeem. Het sluit nieuwe incidenten niet totaal uit, maar het wordt een stuk lastiger om gegevens te ontvreemden.

Eind goed, al goed? Dat is nog maar de vraag. Het datalek zal wel eeuwig een vlek op het blazoen van Target blijven. Aanvankelijk ging men ervan uit dat Target ten minste 162 miljoen dollar schade zou hebben geleden. Dat bedrag is inmiddels enorm gestegen door schikkingen met creditcard maatschappijen. Indirect was er ook schade: de koers van het aandeel noteerde in 2014 2,6 procent lager.