编者按：这个博客是一个系列的第二个，这个系列研究了过去十年中备受关注的、与第三方相关的数据泄露的原因和影响。请务必继续关注风险登记博客，以了解本系列的未来部分！

2013年，攻击者利用第三方供应商的访问权限危害目标公司的网络，窃取敏感客户信息。此博客回顾了目标漏洞的背景、攻击者使用的方法、数据发生了什么、漏洞对目标的影响，以及今天的第三方风险管理从业者仍在从这一漏洞中学到什么。

数据漏洞背景

2013年假日购物季期间，黑客潜入目标公司的网络，我的世界防御ddos，泄露了7000万客户的账户信息。黑客窃取了包括全名、电话号码、电子邮件地址、支付卡号和信用卡验证码在内的数据——这是名副其实的PII圣杯！

所用方法

攻击者对目标公司的第三方暖通空调公司Fazio Mechanical Services使用矛式网络钓鱼攻击，窃取用户凭据。黑客们随后利用这些被盗的凭证，进入目标公司的公司网络，并在目标公司的POS设备上安装恶意软件。安装的恶意软件在2013年11月至12月期间收集了敏感的客户数据。

数据发生了什么事？

被盗的信用卡信息后来在黑暗网络上被发现出售。不过，目前尚不清楚卖家是否是犯罪者。

违规行为对目标公司有何影响

由于违规行为是在圣诞节期间披露的，而圣诞节是零售商的关键时期，美国高防cdn代理，目标公司因此蒙受了重大经济损失。2013年第四季度，该公司的利润比上一年下降了近50%，股价在披露违规信息后的两个月内下跌了9%。此外，Target在2015年解决了一宗1000万美元的集体诉讼，cc是怎么防御的，并同意向因数据泄露而遭受损失的客户支付高达1万美元的赔偿金。2017年，塔吉特又支付了1850万美元的和解金。

此外，广泛的负面宣传损害了塔吉特的声誉，ddos攻击防御代码，引起了不必要的关注。美国司法部在2014年发起了一项调查，组建高防cdn，立法者游说联邦监管机构审查这一违规行为。2014年，多个参议院委员会将这一违规行为作为有关数据安全的潜在法规的讨论点。作为目标公司2017年和解协议的一部分，目标公司被要求遵守加州司法部在加州总检察长的数据泄露报告中公布的业务最佳实践。

第三方风险管理从业者可以从目标公司的泄露中学到什么

尽管风险管理专业人士可以从目标公司学到很多教训这个案例是进行深入的、基于内部控制的评估的典型案例，特别是在两个方面：身份和访问管理，以及用户培训和教育。尽管评估本身并不能保证不会发生违约，对这些关键安全流程缺乏内部控制的可视性将揭示哪些将成为重大弱点。

流行的独特之处在于，我们将这些自动供应商评估与持续威胁监控结合到一个单一平台中，以360度查看供应商。结果是你需要的可见性来揭示、解释和减轻风险。

记住，仅仅因为你将关键功能外包给第三方，并不意味着你将风险外包。你拥有它，你需要相应地管理它。否则，您必须为集体诉讼、声誉和品牌损害以及财务损失做好准备。