V napadu na Target ukradenih 40 milijonov številk kreditnih kartic, Krebs iskal storilce

Med prazniki so si v ZDA belili glavo z vprašanjem, kdo, kako in v kolikšnem obsegu je napadel trgovsko verigo Target in ukradel več kot 40 milijonov bančnih podatkov. Kot so potrdili v podjetju, so neznanci med 27. novembrom in 15. decembrom prestregli bančne podatke kupcev v ameriških trgovinah, medtem ko nakupi prek spleta in v kanadskih izpostavah niso problematični. Priznali so, da so bila odtujena imena imetnikov kartic, številke kartic, datumi veljavnosti in kode CVV. Reuters je potem ugotovil, da so napadalci ukradli tudi številke PIN kartic, ki pa so bile šifrirane.

Target je zagotovil, da kupci ne odo imeli nikakršnih stroškov, saj bodo vso škodo pokrili trgovec ali banke. Kljub temu se je hitro nabralo precej tožb zoper Target. Kako točno so napadalci izvedli napad, Target ni razkril, so pa dejali, da je šlo za zelo dobro pripravljen napad. Banke so se že odzvale; nekatere so znižale limite na računih, katerih kartice so bile odtujene, druge so kartice v celoti preklicale. To kaže na resno bojazen, da bi lahko zlikovci dešifrirali številke PIN. Target je prav tako že najel zasebne preiskovalce, ki tudi raziskujejo incident, njihova PR-služba pa je prejšnji vikend ponudila 10-odstotni popust na vse izdelke v njihovih trgovinah.

Gre za omejevanje škode v javnem mnenju, saj so internet že preplavile ukradene številke kreditnih kartic. Na ilegalnih straneh jih je mogoče kupiti v paketih do milijona, stanejo pa od 20 do 100 dolarjev na kartico.

Varnostni strokovnjak Brian Krebs piše, kako tovrstno nakupovanje poteka, in kako je pomagal neki manjši banki, ki o incidentu sploh ni bila obveščena. Kartice so sortirane po številkah in na podlagi prvih šestih številk lahko vsakdo izbere, številke kartic katere banke bo kupil. Cene znašajo do nekaj deset dolarjev za kartico, plačuje pa se seveda ne s kreditnimi karticami, ampak prek Western Uniona, bitcoina in drugih nepovratnih in nepreklicnih načinov.

V nadaljevanju v drugi objavi na svojem blogu je Krebs začel raziskovati, kdo stoji za napadom. Prečesal je nekaj forumov, WHOIS-zapise nekaterih domen, oglasnike in družabna omrežja ter identificiral enega Ukrajinca. Ni sicer 100-odstotno ugotovil, kdo je naročnik, a je izsledil Ukrajinca, ki če že ni glavni, pa zagotovo ve, kdo je. In Krebs je tedaj prejel ponudbo 10.000 dolarjev, če zgodbe ne objavi. Ni je sprejel.