美加地區近2000家分店的美國第2大量販店達吉特(Target)2013年12月19日發出公告稱,感恩節假期間約有4000萬筆顧客個人資料被盜取,當時引發全美消費者巨大恐慌。雪上加霜的是,Target在10日公布最新統計結果,個資被盜的顧客可能高達1億1000萬人,規模之大,在歷來商業資安案件中數一數二。
歹徒盜走個資的管道,是透過4萬台遭篡改變造約的刷卡機,在Target各分店讀取信用卡與簽帳卡磁條資料,包括姓名、卡號、卡片到期日、三位數安全碼(CCV)、住家、電郵地址等等,竊賊取得後可製作偽卡盜刷、提領現金,或是以魚叉式網路釣魚(spear phishing)方式竊取特定機密,或假冒Target名義騙取更多個人資料。
Target此前稱,美國以外地區與網路商店顧客不受影響,後來卻發現,顧客上網購物時填入的資料、甚或感恩節假期未購物的客戶,個資也遭盜取,因為Target採用的加密演算法(Encryption Algorithm)3DES,駭客可用「暴力攻擊法」(brute force attacks)輕易破解,只要電腦運算夠快,反覆嘗試密碼組合,就可找出正確金鑰。
Target執行長史坦哈斐(Gregg Steinhafel)聲明表示:「我很清楚,顧客得知個人資料遭竊,必然感到沮喪,我們很抱歉大家必須忍受這種事情。同時我們也體悟到,讓顧客知道完整實情非常重要。」事件爆發後,Target服務專線幾乎被顧客打爆,臉書專頁也都是表達憂慮與憤怒的留言,耶誕節假期各分店業績平均衰退2%到6%。
個資竊盜案爆發後,受影響的發卡公司與銀行,為防範信用卡詐欺,陸續通知顧客並換發新卡,有些銀行則是限制卡片提領現金,並監測可疑信用卡交易。美國國會要求聯邦貿易委員會(FTC)展開調查,秘勤局(Secret Service)與司法部門已展開調查行動,設法揪出罪嫌,Target亦聘雇專家防堵資安漏洞。
