[ĐọC thêm: Làm thế nào để loại bỏ phần mềm độc hại khỏi máy tính Windows của bạn]

Nhóm trộm danh tính đã lưu trữ số thẻ tín dụng bị bắt trên các máy chủ bị xâm nhập ở Mỹ, Latvia và Ukraine, theo các tài liệu của toà án. Những kẻ trộm sau đó đã mã hóa số thẻ tín dụng trên các máy chủ đó, theo tài liệu truy tố của Albert Gonzalez, người đứng đầu bị cáo buộc về chương trình trộm cắp ID.

Gonzalez, của Miami, bị kết tội hôm thứ ba tại Tòa án quận Hoa Kỳ cho quận Massachusetts về tội gian lận máy tính, gian lận dây, gian lận thiết bị truy cập, trộm cắp danh tính trầm trọng và âm mưu. Mười bị cáo khác đã bị truy tố hoặc bị buộc tội với tội danh là hành vi trộm cắp ID và hack máy tính lớn nhất trong lịch sử của Bộ Tư pháp Hoa Kỳ, DOJ công bố hôm thứ Ba.

Tài liệu cáo trạng cho Gonzalez, người đang làm việc như một người cung cấp thông tin cho Dịch vụ Mật vụ Hoa Kỳ trong khi bị cáo buộc tham gia vào kế hoạch, làm sáng tỏ một số hoạt động đánh cắp ID. Những kẻ trộm đã có thể mã hóa thông tin thẻ tín dụng trên các thẻ trống đã được sử dụng để kiếm được hàng chục ngàn đô la từ các máy rút tiền trong một lần truy cập, theo tài liệu của tòa án. - Khoảng năm 2003, Gonzalez và những người khác đã tìm thấy một điểm truy cập không dây không mã hoá tại một cửa hàng Câu lạc bộ Bán buôn của BJ. Năm 2004, các thành viên khác trong nhóm đánh cắp ID đã làm hỏng một điểm truy cập không dây OfficeMax tại Miami, và họ có thể ăn cắp dữ liệu thẻ tín dụng. Sau khi các quan chức thực thi pháp luật năm 2006 xác định OfficeMax là nạn nhân của một sự vi phạm dữ liệu, công ty cho biết họ đã thuê một kiểm toán viên bên ngoài để tiến hành một cuộc điều tra và không tìm thấy bằng chứng về một sự vi phạm an ninh.

- Vào tháng 7, tháng 9 và tháng 11 năm 2005, bị cáo buộc là thành viên vòng trộm cắp ID Christopher Scott đã xâm phạm hai điểm truy cập không dây do TJX điều hành tại các câu chuyện của Marshalls ở Miami. Scott đã sử dụng quyền truy cập của mình để liên tục truyền lệnh máy tính đến các máy chủ của TJX lưu trữ thông tin thẻ tín dụng ở Framingham, Massachusetts. TJX, cũng sở hữu TJ Maxx, HomeGoods và các cửa hàng bán lẻ khác, báo cáo dữ liệu bị vi phạm vào tháng 1 năm 2007.

Các chuyên gia về an ninh mạng cho biết các công ty lo lắng về nạn nhân có thể học hỏi từ vụ tấn công. Các công ty lưu trữ thông tin cá nhân cần có cách tiếp cận toàn diện để bảo mật dữ liệu, bao gồm mã hóa cơ sở dữ liệu thẻ tín dụng, thông báo về hành vi đáng ngờ bên trong mạng của họ và những hạn chế về ai có thể truy cập dữ liệu. nhanh chóng và đảm bảo rằng họ biết là dữ liệu nhạy cảm nằm trên mạng của họ, Ted Julian, phó giám đốc chiến lược và tiếp thị của nhà cung cấp bảo mật máy tính an ninh cho biết. Nhiều công ty không biết đâu là tất cả dữ liệu nhạy cảm của họ được lưu trữ, do doanh thu công nhân IT và các yếu tố khác, ông nói.

Các công ty cũng cần phải phân tích rủi ro của họ và có một cách tiếp cận mục tiêu để khắc phục các vấn đề, Sam Curry, phó chủ tịch quản lý sản phẩm tại nhà cung cấp bảo mật mạng RSA. "Các tin tặc tập trung hơn nhiều, và họ sẽ thử 38 cửa, họ sẽ thử 100 cửa", ông nói. "Ngay sau khi họ tìm thấy một trong đó là mở khóa, họ đang trên đường đến cơ sở dữ liệu. Tôi không biết rằng rất nhiều [IT] người đang nhận được $ 10 triệu trong ngân sách của họ để tung ra một loạt các biện pháp an ninh mới Các công ty cũng nên kiểm tra xem liệu dữ liệu họ lưu trữ có cần thiết hay không và họ lưu giữ dữ liệu trong bao lâu, Graham Cluley, chuyên gia tư vấn công nghệ cao cấp của Sophos, một nhà cung cấp bảo mật không dây khác, cho biết. về bảo vệ dữ liệu bên trong mạng của họ, Curry nói. Các nhà bán lẻ và các công ty khác cần phải "đánh thức và thực hiện những mối đe dọa này một cách nghiêm túc", Curry nói. "Hãy trả chi phí cho những kẻ xấu quá cao để họ làm việc đó."

Các bản cáo trạng thông báo vào thứ ba có thể làm tăng nhận thức về an ninh mạng, Curry nói thêm. Và một số hình phạt tôn giáo cao cấp có thể giúp ngăn chặn bọn tội phạm. Tuy nhiên, Curry và Cluley đã từ chối đưa các ngón tay vào các nhà bán lẻ có hệ thống bị xâm nhập. Cluley cho biết: "Các khách hàng của các công ty cần phải gây áp lực lên họ để cải thiện các biện pháp an ninh, các công ty cũng là nạn nhân", Cluley nói. "Thật là sai khi đánh bại các công ty quá nhiều", Cluley nói. "Các công ty cạnh tranh không nên cảm thấy tự mãn, bởi vì có bao nhiêu người trong số họ có thể đặt tay vào lòng họ và nói," Điều này không bao giờ có thể xảy ra bên trong tổ chức của chúng tôi? ""

Ủy ban thương mại liên bang Mỹ, tuy nhiên, chống lại TJX, BJ's Wholesale và DSW, một chuỗi bán lẻ giày nhắm mục tiêu bởi vòng trộm cắp ID đã báo cáo vi phạm dữ liệu vào tháng 3 năm 2005. DSW báo cáo rằng hơn 1,4 triệu số thẻ tín dụng đã bị xâm phạm, và tổn thất dao động từ 6,5 triệu USD đến 9,5 triệu USD.

Tính đến giữa năm 2005, BJ đã báo cáo số tiền còn nợ 13 triệu đô la liên quan đến vi phạm dữ liệu. Theo FTC, khoảng 455.000 số thẻ tín dụng đã được thực hiện trong các vi phạm TJX, theo FTC.

FTC cho rằng ba nhà bán lẻ không áp dụng các biện pháp an ninh thích hợp để bảo vệ chống lại các cuộc tấn công.

Tháng 6 năm 2005 đòi hỏi công ty phải thực hiện một chương trình bảo mật thông tin toàn diện và nhận được kiểm toán bởi một chuyên gia an ninh độc lập bên thứ ba mỗi năm trong 20 năm. Cơ quan này đã công bố một thỏa thuận tương tự với DSW vào tháng 12 năm 2005 và TJX vào tháng 3 năm nay.

FTC đã không đệ trình khiếu nại lên sáu công ty khác do DOJ xác định là nạn nhân vi phạm dữ liệu. Các công ty này là Dave và Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority và Forever 21. Một quan chức của FTC cho biết bà không thể bình luận về những khiếu nại có thể xảy ra đối với các công ty đó vì FTC không bình luận về các cuộc điều tra đang diễn ra.