關於美國零售業業者 Target 資料外洩常見問題集

2014年1月10日星期五,Target宣布,在他們2013年12月19日所披露的外洩事件裡,有更多的資料被外洩。而在那一天,也有報導指出Neiman Marcus有部分店內客戶的信用卡和借記卡(Debit Card)資料被盜。

這些新訊息可能讓整個局面更加混亂。為了幫你更清楚地瞭解發生了什麼事,對你來說代表了什麼,以及你該做些什麼,我們整理出了一份常見問題(FAQ)列表來舉出這些狀況並加以解釋。

除了這份常見問題列表,你也該去看看Target的官方常見問題列表。Target也將所有關於這次事件的資料和資源整合在集中的資訊站

DLP1

有關Target資料外洩的最新狀況?

在2014年1月10日星期五,Target宣布有高達7000萬份個人資料在最初於2013年12月19日所宣布的資料外洩事件中丟失。

這是新的資料外洩事件?

不是。根據Target所表示,這並不是新一起的資料外洩事件。Target表示這些資料被竊是屬於他們最初在2013年12月所公布資料外洩事件的一部份。

 

但Target是說新的資料外洩,對不對?

不錯。雖然他們說並沒有出現新的事件,但他們表示現在知道有比以前所認為更多的資料在12月的事件裡丟失。用一般的例子做比喻,竊賊在十二月只闖進他們的房子一次。但是除了原本Target所知道被偷的電視外,他們又發現了竊賊還拿了一台筆記型電腦。

 

Target原本在2013年12月的公告裡聲稱外洩了哪些資料?

Target在12月宣稱,有高達4000萬名在2013年11月27日到2013年12月15日間在美國店面購物過的人們信用卡和借記卡資料被竊。

 

這新外洩的資料和Target在12月所宣布的有何不同?

在這最新的公告裡,Target聲稱有高達7000萬名客戶的個人資料被外洩。這次外洩並不相同,因為資料類型不同:這是個人資料,而非信用卡和借記卡資料。而且是不同的受害族群:它有7000萬人,而非4000萬人。

 

這兩個Target外洩的資料間關係為何?如果我是2013年12月所公佈資料外洩受害的4000萬人之一,我也會受到這一個的影響嗎?

可能會。但是我們無法肯定。

Target並沒有說這兩個外洩的資料間有任何關係,只是它們都屬於同一起資料外洩事件的一部份。有報導表示它們有部分重疊,意味著有些客戶可能會同時受到兩個外洩資料的影響。但報導也顯示有超過一億的客戶被這兩個事件影響。華盛頓郵報指出,這代表有三分之一的美國住戶可能被這情況所影響。

 

Target在2014年1月公告的資料外洩事件中丟失哪些資料?

根據Target所說,這外洩的資料包括客戶的姓名、郵寄地址、電話號碼或電子郵件地址。

 

兩個Target外洩的資料之間還有其他不同嗎?

是的。Target公司在回應2013年12月的資料外洩時表示,他們將提供免費的信用監控給在他們商店購物的所有顧客,而不僅僅是4000萬名信用卡和借記卡資料被竊的客戶。不過到目前為止,Target沒有表示會提供信用監控給任何受2014年1月資料外洩影響的客戶。

 

別人可以利用這些資料作什麼?各外洩的資料有多嚴重?我該關心什麼?我該怎麼做?

2013年12月外洩的資料有信用卡和借記卡資料。這些資料可能會被拿來做詐騙性購物。事實上,這已經發生了好幾個星期。如果你受到這資料外洩事件影響,這是非常嚴重的,你應該要非常關心。你必須定期查看你的帳單,出現任何詐騙性費用時要立即回報。既然Target提供信用監控給所有在他們店裡購物的客戶,如果你還沒有監控你的信用狀況,應該要馬上登記。

2014年1月外洩的是個人資料,但不包括像社會安全號碼這樣的重要資料。Target還說明在某些狀況下,資料是部分的,代表可能只有姓名和電子郵件地址而已。可能並沒有足夠的資料來做身份竊盜。但它可以結合其他資料來進行身份竊盜。該資料還可以用來建立高品質的垃圾郵件或釣魚郵件。要特別小心垃圾郵件和網路釣魚,特別是那些偽裝成來自Target的電子郵件。

你還應該注意身份竊盜的可能跡象。因為Target沒有表示會提供信用監控給受2014年1月資料外洩事件影響的人,所以你該考慮自己去取得一個。

 

我2013年11月27日到12月15日間有在一家Target門市購物過,但沒有被通知受到影響,我該做些什麼嗎?

是的。Target提供信用監控給所有在該段時間內在他們店面購物的客戶,無論是否有列在這4000萬名受影響的客戶內。如果你這段時間內有在Target購物過,而還沒有監控你的信用狀態,你應該利用這次機會來增加額外的保護。

 

我是Target的客戶,但我並沒有在2013年11月27日到12月15日間在Target店面購物,也沒被通知是2014年1月資料外洩受影響的7000萬人之一。我需要擔心什麼嗎?

有可能。你可能是7000萬名受2014年1月資料外洩事件影響的人之一,只是自己不知道。Target已經表示會盡力和受資料外洩影響的人聯繫。但他們可能沒有足夠的資料來通知你。如果你是Target的客戶而沒有被通知受到影響,最好還是要留意任何可疑的活動。

 

Neiman Marcus是怎麼回事?我聽說他們已經證實有資料外洩,丟失客戶的信用卡和借記卡資訊,就跟Target在2013年12月的資料外洩事件一樣。

現在我們還沒有太多細節。根據2014年1月10日星期五的報導,美國特勤局正在調查2013年12月後在Neiman Marcus店內購物的客戶所面臨的詐騙性變化。Neiman Marcus在2014年1月11日星期六證實了該報導。不過雖然證實了該報導,他們目前還沒有發布任何具體的細節。

 

這資訊並不多,他們會公布更多資訊嗎?

是的,他們已經表示將會公布更多資訊,並且會聯繫受到影響的人。很顯然地,目前還只是在調查的初期,沒有公布資料的原因只是因為還沒有。

 

他們為什麼沒有資料?難道他們不應該很容易就知道有誰受到影響嗎?

調查資料外洩是個非常精細的過程。如果你曾經看過像「CSI」等影集,你就會知道鑑識調查是多麼仔細的科學過程。電腦鑑識也是一樣:調查人員必須要有條不紊地調查銷售終端、伺服器、網路設備、防火牆日誌、資料庫以及其他東西。正如我們已經看到的Target資料外洩事件,這些調查人員需要從幾億筆,甚至幾十億筆記錄中理出頭緒來。而且他們必須要用妥善記錄的方式來完成,好在刑事法庭上面臨詰問時可以站得住腳。

 

我在那些節日曾經在Neiman Marcus購物過,我該怎麼做?

直到Neiman Marcus提供更多資料前,在2013年11月到2014年1月10日間曾經在店面購物過的人,應該要徹底檢查自己在那裡購物所用信用卡的帳單。你也該注意新聞以了解更多資訊,這樣當Neiman Marcus公布受影響客戶範圍的消息時,你就可以馬上知道。最後,你也要注意是否有收到Neiman Marcus關於你受到影響的通知。

 

我已經收到Target或Neiman Marcus的通知,我的確受到了影響,那我該怎麼做?

首先,你不該點入任何電子郵件通知上的任何連結,或是在接獲來電時給出任何個人資料。這些事件獲得廣泛的關注,它們現在是垃圾郵件/釣魚/詐騙電話的首選。如果你有收到通知,你應該先採取步驟來驗證該通知是真的。正式通知也會在該公司網站或客服單位裡有一份。如果你有收到通知,你應該連上他們的官方網頁或撥打他們的官方客服電話來開始進一步的程序。

 

我不是Target或Neiman Marcus的客戶。關於這些事件,有任何我該擔心的事情嗎?

你不需要擔心會因為這些事件而處在危險中。但你該擔心的是這些事件代表了什麼。Target和Neiman Marcus都是有充足資源和良好安全實作的大公司。如果他們會像這樣的被入侵,意味著其他人也可能。因此,是時候讓我們認真地考慮將即時身份竊盜監控列在最佳實作中。同時這也凸顯出使用新式安全套件來提供你電腦和設備多層次防護的重要性。

 

@原文出處:Information about recent retail data breaches in the United States: an FAQ

作者:Christopher Budd(全球威脅交流)