Internet obiegła dzisiaj rano wieść o tym, że z bliżej nieustalonej firmy w USA wyciekły dane 10 milionów kart kredytowych. W miarę upływu dnia pojawiały się kolejne informacje rewidujące poranne wieści, jednak sama sprawa nadal wygląda interesująco.
Jak się wszystko zaczęło
Wszystko zaczęło się od wpisu jednego z najbardziej znanych blogerów piszących o bezpieczeństwie – Briana Krebsa. Dzisiaj rano napisał on, że wg docierających do niego informacji doszło do dużego wycieku danych o kartach płatniczych z jednej z organizacji zajmujących się rozliczaniem dokonywanych nimi transakcji. Źródła, na które się powoływał, mówiły, że Visa oraz Mastercard rozpoczęły akcję powiadamiania wystawców o kartach, których dane zostały skradzione przez przestępców. Pierwsze podawane liczby mówiły o być może nawet 10 milionach wykradzionych rekordów. Do wycieku miało dojść między styczniem a lutym 2012, a utracone dane miały obejmować Track 1 i Track 2 (dane wystarczające do nagrania paska magnetycznego karty).
Czy liczba kart była mniejsza?
Krótko potem Wall Street Journal zidentyfikował firmę, w której doszło do wycieku, jako Global Payments. Jednocześnie WSJ napisał, że ciągle trwa analiza incydentu i wg do tej pory zebranych informacji wszystko wskazuje, że na pewno doszło do wycieku danych ok. 50 tysięcy kart, jednak pełna skala wycieku nie jest znana. Akcje Global Payments w krótkim czasie straciły na wartości ponad 9% i zawieszono ich notowania. Zaatakowana firma wydała oświadczenie, w którym poinformowała, że sama wykryła włamanie „do części swoich systemów” i poinformowała o nim swoich partnerów. Późniejsze raporty wskazały, że wg do tej pory dostępnych informacji, potwierdzono wyciek danych jedynie 26 tysięcy kart.
Szczegóły włamania
Analityk Gartnera, Avivah Litan, poinformowała na swoim blogu, że wg jej źródeł za włamaniem stoi gang z Ameryki Południowej, prowadzący również przedsiębiorstwo taksówkowe i parkingowe w Nowym Jorku. Niepotwierdzone informacje mówią również, że do włamania do systemu wykorzystano fakt, iż autoryzacja była oparta na wiedzy posiadanej przez użytkownika. Włamywacze poznali odpowiedzi na kluczowe pytania zadawane przez system w procesie autoryzacji i podszyli się pod jednego z administratorów.
Skala wycieku, przy założeniu, że Brian Krebs się nie mylił i faktycznie możemy mówić o 10 milionach kart, nie jest zaskakująca – nie dalej jak 4 lata temu podczas trwającego 14 miesięcy włamania do firmy Heartland Payment Systems wykradziono numery 130 milionów kart płatniczych. Prawdziwą skalę opisywanego powyżej incydentu poznamy zapewne w ciągu najbliższych tygodni, kiedy zgodnie z obowiązującymi w USA przepisami firma Global Payments ujawni bliższe szczegóły.
Firma Global Payments przyznała, że wg najnowszych informacji wyciekło mniej niż półtora miliona danych kart. Jednocześnie okazało się, że jedyne ujawnione dane obejmowały zapis magnetyczny karty, a przestępcy nie uzyskali dostępu do takich danych jak adres zamieszkania czy imię i nazwisko posiadacza, co sprawia, że wykradzione dane mogły być jedynie używane do zakupów sklepowych, ale już nie w internecie.
Komentarz