Napadalci pridobili podatke o poldrugem milijonu kreditnih kartic Visa in MasterCard, škode za zdaj ni

V petek je na spletu odjeknila novica, da so bile v ZDA izpostavljene številke več kot 10 milijonov kreditnih kartic, ki sta jih izdala Visa in MasterCard. Po poročanju KrebsOnSecurity in Wall Street Journala, ki sta se prva dokopala do novice, naj bi neznani napadalci odtujili podatke o obeh magnetnih zapisih (Track 1 in Track 2) na karticah, kar bi jim omogočilo izdelavo fizičnih duplikatov za dvigovanje gotovine na bankomatih. Opravljanje spletnih transakcij pa je tako ali tako mogoče že samo s poznavanjem številke kartice in trimestne varnostne kode.

Danes je natančno znano, kaj se je zgodilo, in da škoda ni bila velika. Neznani napadalci so med 21. januarjem in 25. februarjem vdrli v nekatere strežnike podjetja Global Payments, ki v ZDA deluje kot sedmi največji procesni center za plačila s kreditnimi karticami. Ogroženi so podatki 1,5 milijona imetnikov kreditnih kartic, ki bi jih bili napadalci teoretično mogli pridobiti. Koliko so jih resnično kompromitirali, še ni znano, banke pa so prizadetim že začele izdajati nove kartice. Na novinarski konferenci, ki jo je Global Payments sklical danes zjutraj, so zagotovili, da so napadalci pridobili le podatke z magnetnega zapisa 2 (Track 2), ki ne zadostujejo za izdelavo kopij kartic ali spletna plačila.

Kljub temu je Visa že ukrepala in Global Payments odstranila s seznama procesnih centrov, ki izpolnjujejo kriterije PCI. Z njimi še vedno normalno poslujejo, a so jim razveljavili certifikat kakovosti. Global Payments je že napovedal, da bodo storili vse, da ga pridobijo nazaj. Zagotovili so, da preiskava incidenta že poteka, tako da bodo ugotovili, kaj je šlo narobe, preprečili ponavljanje v prihodnosti in zagotovili, da so ostali podatki resnično nedotaknjeni.

To ni prvi napad na kartični procesni center niti najresnejši. Leta 2004 so hekerji vdrli v CardSystems Solutions in kompromitirali številke 40 milijonov kreditnih kartic. Takrat so poznavalci najbolj kritizirali počasno odkritje in še počasnejši odziv podjetja na vdor. Leta 2009 je bil na udaru Heartland Payment Systems, kjer je podjetje pokopalo preprosto vrivanje SQL na spletni strani - odtujenih je bilo 130 milijonov številk kartic. Po besedah poznavalcev se tovrstni napadi pojavljajo precej pogosto, a zanje izvemo le, ko je napaden kateri izmed največjih.