Wat je kunt leren van de Hudson's Bay-hack

Wat je kunt leren van de Hudson's Bay-hack

Door Bart Bruijnesteijn
Presales director Noord Europa bij CyberArk

Onlangs werd bekend dat de warenhuizen van Saks Fifth Avenue en Lord & Taylor het slachtoffer zijn geworden van een cyberaanval. Hierbij werd onder andere ingebroken in PoS-systemen, met mogelijke diefstal van betaalgegevens tot gevolg. Hoewel details nog niet bekend zijn, heeft moederbedrijf Hudson’s Bay, sinds kort geen onbekende in Nederland, al wel enkele rapporten vrijgegeven waaruit blijkt hoe de aanvallers hebben kunnen handelen. Hieruit zijn ook al enkele lessen te leren voor andere retailers. 

Als eerste valt op dat dit niet alleen misbruik was van een kwetsbaarheid in de PoS-systemen was, maar een overname van het IT-netwerk van Hudson’s Bay. De PoS-systemen waren weliswaar het doel, maar de aanvallers zijn stap voor stap door het netwerk gegaan om daar te komen. Als alleen het PoS-systemen zou zijn gekraakt, waren er waarschijnlijk meer slachtoffers dan alleen Saks en Lord & Taylor. 

Buitgemaakte privileged accounts, ofwel inloggegevens van gebruikers of systemen met meer dan...

Door Bart Bruijnesteijn
Presales director Noord Europa bij CyberArk

Onlangs werd bekend dat de warenhuizen van Saks Fifth Avenue en Lord & Taylor het slachtoffer zijn geworden van een cyberaanval. Hierbij werd onder andere ingebroken in PoS-systemen, met mogelijke diefstal van betaalgegevens tot gevolg. Hoewel details nog niet bekend zijn, heeft moederbedrijf Hudson’s Bay, sinds kort geen onbekende in Nederland, al wel enkele rapporten vrijgegeven waaruit blijkt hoe de aanvallers hebben kunnen handelen. Hieruit zijn ook al enkele lessen te leren voor andere retailers. 

Als eerste valt op dat dit niet alleen misbruik was van een kwetsbaarheid in de PoS-systemen was, maar een overname van het IT-netwerk van Hudson’s Bay. De PoS-systemen waren weliswaar het doel, maar de aanvallers zijn stap voor stap door het netwerk gegaan om daar te komen. Als alleen het PoS-systemen zou zijn gekraakt, waren er waarschijnlijk meer slachtoffers dan alleen Saks en Lord & Taylor. 

Buitgemaakte privileged accounts, ofwel inloggegevens van gebruikers of systemen met meer dan gemiddelde toegangsrechten, staan vaak aan de basis van een dergelijke hack. Dit gebeurt vaak via phishing. Eenmaal binnen start de weg richting het doel: stap voor stap nieuwe rechten verkrijgen om uiteindelijk een systeem volledig over te kunnen nemen. Eenmaal op die plek kan een aanvaller betalingsgegevens afkijken zonder dat het opvalt of er alarmbellen gaan rinkelen, want hij heeft immers alle rechten daartoe.

Er zijn verschillende lessen te leren uit deze Hudson’s Bay-hack. Een effectieve beveiliging bestaat in eerste instantie natuurlijk in de vorm van de EMV-betalingsmethode of chip-and-pin. Hiermee wordt voorkomen dat kaartnummers zichtbaar worden. Uit de eerste rapporten blijkt dat de warenhuizen gebruikmaakten van een ouder model kaartlezer, waarbij de magnetische strip werd uitgelezen. De kaartgegevens worden dan in het systeemgeheugen opgeslagen, en kunnen gemakkelijk worden overgenomen door de aanvallers. Deze apparatuur zien we nog steeds in gebruik, ook in Nederland. Een update van pin-apparatuur is dus ook voor beveiliging van groot belang.

Afgaande op de rapporten en eerdere incidenten is het hoogstwaarschijnlijk dat de aanvaller van een gebruikers-endpoint (computer, laptop, telefoon of een ander apparaat) overgesprongen is naar de PoS-systemen. Beveiligde winkelnetwerken moeten altijd afgescheiden worden van normale netwerken. Segmenteren in de IT-infrastructuur is een belangrijke voorwaarde voor beveiliging. Op die manier wordt overstappen tussen netwerken en apparaten veel lastiger. Met de juiste privileged accounts is het nog steeds mogelijk, maar dat zien we eigenlijk alleen op het niveau van aanvallen vanuit landen op infrastructuur- en financiële instellingen. 

Hoewel niet zeker is of het gehele Hudson’s Bay-netwerk is overgenomen (en daarmee wellicht ook de Nederlandse winkels risico lopen), is het wel duidelijk dat de aanvallers verregaande toegang hebben gekregen om de PoS-systemen over te nemen. In dergelijke gevallen moet vaak het hele netwerk opnieuw worden opgebouwd om met een schone lei te kunnen beginnen. Een goede tegenmaatregel is meervoudige authenticatie bij alle privileged accounts, zodat meer dan alleen een wachtwoord nodig is. Het verwijderen van oude inloggegevens is ook belangrijk. Als er privileged accounts aanwezig zijn op endpoints wordt het risico groter, want er zijn simpelweg meer locaties om binnen te vallen en een brug naar het netwerk en uiteindelijk de PoS-systemen te bouwen. Automatiseer het opslaan en beveiligen van deze gegevens, en monitor waar en wanneer ze worden gebruikt. Op die manier worden PoS-systemen en gerelateerde netwerken beter afgeschermd. 
 

Dit is een premium artikel

Verder lezen?

Sluit je net als 2.500 bedrijven aan bij de RetailTrends-community

Slechts €10 voor de eerste maand

Word member van RetailTrends en krijg;
✅ toegang tot alle premium content;

✅ het RetailTrends-magazine (print + online);

✅ net als 40.000 nieuwsbriefabonnees dagelijks het laatste nieuws in je mailbox;

✅ gratis vacactureplaatsingen op RetailTrends Jobs;

✅ korting op RetailTrends-events.

Altijd op de hoogte van de laatste trends in de retailsector.

Schrijf je nu in voor de nieuwsbrieven van RetailTrends.

Er staan fouten in het formulier. Corrigeer je invoer en probeer het opnieuw.

Vul uw wachtwoord nogmaals in ter controle.

Je bent toegevoegd aan onze mailinglijst!