Украдено 40 млн номеров кредитных карт

[acid]

В пятницу компания MasterCard International сообщила о том, что, вероятно, произошла кража более чем 40 млн номеров кредитных карт — едва ли не крупнейший в истории инцидент нарушения компьютерной безопасности.

В заявлении компании говорится, что около 13,9 млн поставленных под удар счетов относятся к картам MasterCard. Кроме них, пострадали примерно 20 млн карт Visa и карты других сетей, включая American Express и Discover. MasterCard и Visa предупредили о подвергающихся риску счетах входящие в их сети банки, так что те могут принять меры для защиты владельцев карт.

«Чисто количественно это, вероятно, один из крупнейших взломов сети», — прокомментировал главный аналитик Javelin Strategy & Research Ван Дайк.

Согласно заявлению MasterCard, инцидент произошел в компании CardSystems Solutions (Туксон, штат Аризона), которая занимается обработкой платежных данных. Злоумышленнику удалось воспользоваться уязвимостями в нефильтруемой сети CardSystems и получить доступ к данным о владельцах карт.

CardSystems — одна из нескольких независимых компаний, которые обрабатывают транзакции для банков и торговых организаций. Брешь в защите ее сети была обнаружена с использованием инструментов, предназначенных для проверки подлинности кредитных карт. Украдены только номера кредитных карт; MasterCard утверждает, что на картах не содержится номеров социальной защиты или дат рождения клиентов. Полученная злоумышленниками информация может использоваться для мошенничества с кредитными картами, но не для подмены личности.

Visa распространила заявление, в котором утверждается, что компании известно об инциденте и она ведет работу с правоохранительными органами и банками по контролю и предотвращению мошенничества. MasterCard, Discover, Visa уверяют, что пользователям карт не придется отвечать за незаконные операции с их картами, если таковые будут иметь место.

Инцидент, предположительно, произошел в прошлом месяце. В распространенном в пятницу заявлении CardSystems говорится, что в компании заподозрили взлом в воскресенье 22 мая и на следующий день позвонили в ФБР, а также оповестили Visa и MasterCard. После этого CardSystems провела проверку систем защиты и по результатам этой проверки изменила некоторые процедуры.

Волна утечек
Этому взлому предшествовало несколько других серьезных инцидентов, подвергающих американских потребителей опасности подмены личности. На прошлой неделе компания CitiFinancial сообщила, что службой United Parcel Service при передаче в кредитное бюро были потеряны ленты с незашифрованной информацией о 3,9 млн заказчиков. CitiFinancial — это дочерняя компания Citigroup, специализирующаяся на потребительских финансовых операциях.

За последние месяцы об утечках данных сообщили Bank of America и банк Wachovia, компании по обработке данных ChoicePoint и LexisNexis, а также Калифорнийский университет в Беркли и Стэнфордский университет.

Два недавних опроса выявили растущее беспокойство людей по поводу защиты данных. В среду организация Cyber Security Industry Alliance сообщила, что 97% из опрошенных американских избирателей сказали, что подмена личности — проблема, требующая решения, а 64% хотят, чтобы правительство делало больше для повышения компьютерной безопасности. Исследование, проведенное по заказу Adobe Systems и RSA Security, обнаружило также, что в Вашингтоне восемь из десяти «профессионалов высокого уровня» считают, что законодатели недостаточно делают для того, чтобы обезопасить данные потребителей.

В США владельцы карт MasterCard защищены от несанкционированных операций по их счетам, утверждает компания. Если владелец карты подозревает, что его картой пользуются мошенники, он может заявить об этом в свой банк. Ван Дайк из Javelin Strategy & Research советует владельцам карт следить за своими счетами в онлайне. «В случае подмены личности первыми, скорее всего, об этом узнают сами владельцы карт», — говорит он.

CardSystems уже приняла меры для повышения безопасности своей системы. И все же MasterCard установила для обработчика данных неразглашаемый срок, к которому тот должен продемонстрировать полную безопасность своей системы.

[Moonlight]

kruto.. xorosho chto moy expired. noviy uje vryad li budet.

[Kristem]

Опа.......А как проверить можно, твой номер украли или нет до того, как bill придет?

[Griffon2-7]

То ли слишком мало информации о том, что на самом деле утеряно, то ли много шума из ничего. Сам по себе номер карточки не представляет из себя ничего особенного - написать программу сгенерирующую 40-50-100 миллионов номеров - чашка растворимого. Видимо утеряли что-то еще, но об этом не упоминают.

[Speedy Gonzales]

Quote:

Опа.......А как проверить можно, твой номер украли или нет до того, как bill придет?

poshli mne nomer kartochki tvoej, ja probyu po baze.

[Moonlight]

Quote:

Originally Posted by Speedy Gonzales

poshli mne nomer kartochki tvoej, ja probyu po baze.

i esho day emu deviche imya materi

[Barew_dzez]

Quote:

Originally Posted by Griffon2-7

То ли слишком мало информации о том, что на самом деле утеряно, то ли много шума из ничего. Сам по себе номер карточки не представляет из себя ничего особенного - написать программу сгенерирующую 40-50-100 миллионов номеров - чашка растворимого. Видимо утеряли что-то еще, но об этом не упоминают.

Там кажется и Пин коды есть и expire date и card holder name.

[Speedy Gonzales]

Na kakom osnovanii kazhetsya?

[Griffon2-7]

Quote:

Originally Posted by Barew_dzez

Там кажется и Пин коды есть и expire date и card holder name.

PIN-код никто кроме card holder-а увидеть не может, он передается в закрытом конверте. В открытом виде этот код нигде не хранится (разве что в записной книжке cardholder-а), это я могу заявить на 100%. Невозможно предположить, чтобы 40 миллионов картодержателей передали бы свой пин-код на хранение.
С Expiry Date - все тоже просто для потенциального взломщика - если карточка действущая, то ее Expiry Date равен какой-нибудь дате из 12 возможных, по одной дате на каждый месяц. Карточку ведь обычно на год выдают, ну на 2 (тогда 24 возможных варианта).
А вот CardHolder Name - это уже чуть посерьезнее, но это не тоже самое, что и физически потерять саму карточку.

Как бы то ни было, потеря есть потеря, не понимаю, как можно было банкам доверить данные своих клиентов какой-то третьей организации для обработки. Организация же в свою очередь выложила это все на сервер, имеющий доступ в интернет.

Quote:

Брешь в защите ее сети была обнаружена с использованием инструментов, предназначенных для проверки подлинности кредитных карт.

Это тоже хрен поймет, что такое, что они имеют ввиду? Подлинность карточки и брешь в сети одним и тем же дивайсом?

[Barew_dzez]

ай ам сорри. я имел введу не ПИН а cvc2 или cvv2 код.

[Bionika]

Quote:

Originally Posted by Speedy Gonzales

poshli mne nomer kartochki tvoej, ja probyu po baze.

VRUSHKA..........

[darrel]

Если система не обеспечивает безопастность (адреса, даты рождения и т.п.) то можно всегда оспорить использование карты в такой системе. А если это тоже украли ..... хм, тогда доказать, что была использована ворованая карта будет трудно. Но, я не думаю, что компания может позволить себе хранение всех этих данных в одной базе - она аудит на безопастность не пройдет. Скорее всего были украдены только номера .... иначе отозвали бы все карты .... не идиоты же они.

[mdoom]

Quote:

Originally Posted by Griffon2-7

То ли слишком мало информации о том, что на самом деле утеряно, то ли много шума из ничего. Сам по себе номер карточки не представляет из себя ничего особенного - написать программу сгенерирующую 40-50-100 миллионов номеров - чашка растворимого. Видимо утеряли что-то еще, но об этом не упоминают.

Dostatochno znat neskolko veshei

CARDHOLDER NAME , LAST NAME
CARD NUMBER
EXPRIRATION DATE
CVV2 - 3 cifri na obratnoi storone kartochki

etogo dostatochno


a generatori kreditnix kartochek uje neskolkolet nigde nerabotayut , s sgenerirovanim nomer razve chto na kakom nibud ustarevshem pornosaite udastsa rasplatitsa