Target החלה להודיע ללקוחות על פרצת אבטחה מסיבית שחשפה פרטי חיוב וכרטיסי אשראי של רבים שקנו בחנויות שלה מוקדם יותר בינואר. דוא"ל אחד ללקוח התחיל באופן הולם ב: "כפי שאולי שמעתם או קראתם..."
עד ש-Target שלחה הודעה זו, חלף כמעט חודש מאז הקמעונאיאישר את ההפרהבְּפוּמבֵּי. הודאה זו נבעה מממצאיו של כותב אבטחת אינטרנט אחד והגיעה ארבעה ימים לאחר שנאמר כי אירוע האבטחה החל.
חלקם מתחו ביקורת על Target על כך שהמתינה זמן רב מדי כדי לחשוף את פרצת האבטחה שלה, מה שמרמז שהקמעונאי אולי לא רצה לערער את עונת הקניות בשיא החגים. לטוב ולרע, ההחלטה של טארגט לא לחשוף את החדשות מכניסה אותה מיד לחברה טובה.נימן מרקוסגם חיכה שבועות כדי לחשוף פרצת אבטחה שהתרחשה במחצית השנייה של השנה שעברה, כמו גם עסקים אחרים כמובארנס אנד נובל.
ראה גם:
"זהו פעולת איזון אמיתית", אומר טד ג'וליאן, CMO ב-Co3 Systems, המספקת תוכנה לעסקים כדי לסייע בניהול פרצות אבטחה. הוא מציין שלעתים קרובות עסקים לא רוצים לקפוץ ולחשוף חדשות על הפרות לפני שיש להם את כל הפרטים. "אתה לא רוצה להוציא הודעה בבוקר ואז צריך לעשות הודעה אחרת בערב שזה לגמרי סותר".
מצד שני, אם קמעונאים ממתינים יותר מדי זמן, הם עלולים לקבל ביקורת נוקבת על כך שהם משאירים את הלקוחות בחושך. בעצם, זה מצב של הפסד-הפסד עבור הקמעונאי.
מטרה, אפשר לטעון, חוותה את הגרוע ביותר משניהם. הוא זכה לביקורת על כך שהמתין ארבעה ימים לחשוף, אך נראה כי מסר את החשיפה לפני שידע את כל הפרטים. מאז הוא חשף כי ייתכן שהפרה השפיעהעוד עשרות מיליוני צרכניםממה שזה הבין לראשונה, וכי חלקמספרי PIN של כרטיס חיובנגנבו גם כן.
נכון לעכשיו, אין תקן כלל ארצי לאופן שבו עסקים בארה"ב חייבים להתמודד עם חשיפת פרצות אבטחה. ל-46 מדינות ולמחוז קולומביה יש חוקים המחייבים עסקים לחשוף, אך לדברי ג'וליאן, "התקנות של כל מדינה שונות במקצת [ויש להן טריגרים שונים". ייתכן שהחוקים הללו קבעו ספים שונים לחשיפה בהתבסס על מספר הלקוחות שיש להשפיע עליהם או לסוג המידע האישי שנחשף.
בדוגמה ידועה לשמצה אחת מאמצע שנות ה-2000, ChoicePoint, חברת צבירה נתונים, הודיעה ל-35,000 לקוחות בקליפורניה על פרצת אבטחה מכיוון שחוק המדינה חייב זאת, אך לא הודיעה מיד ליותר מ-100,000 לקוחות נוספים ממדינות אחרות שלא דרשו. את זה בזמנו.
מאחורי הקלעים, לעסקים לוקח זמן לנווט בחוקי מדינה שונים ולרוב פונים לרשויות אכיפת החוק כדי לחקור את המצב. לאחר שהם עשו את הדבר האחרון, ניתן לבקש הקפאת אכיפת החוק, מה שקונה לקמעונאי יותר זמן לפני שיש צורך לחשוף הפרה במטרה לא לפגוע בחקירה.
בינתיים, עלול ליפול על הבנקים לבשר על כך שכרטיס האשראי או החיוב של לקוח נפרץ. זה יכול ליצור נקודת מתח אפשרית בין מוסדות בנקאיים, שיש להם אינטרס טבעי למהר לחשוף, לבין עסקים שעשויים להיות להם מוטיבציה להמתין.
"הקמעונאי, בעוד שהיית רוצה שהם יהיו הראשונים בתור, בסופו של דבר אין להם מניות אמיתיות בזה", אומר רוברט סיציליאנו, מנתח גניבת זהות. התפקיד האמיתי של העסק, הוא אומר, "הוא להדק את המערכות הקיימות שלו ובסופו של דבר להודיע לצרכן. מנפיק כרטיסי האשראי הוא זה שבסופו של דבר מנפיק [כרטיסים חדשים]".
ביום ראשון,כך דיווחה רויטרסייתכן שקמעונאים אחרים בנוסף ל-Target ונימן מרקוס נפרצו במהלך עונת החגים, אך השמות לא נחשפו.
