Все новости от 19 июня 2005 г. Украдено 40 млн номеров кредитных карт
В пятницу компания MasterCard International сообщила о том, что, вероятно, произошла кража более чем 40 млн номеров кредитных карт — едва ли не крупнейший в истории инцидент нарушения компьютерной безопасности.
В заявлении компании говорится, что около 13,9 млн поставленных под удар счетов относятся к картам MasterCard. Кроме них, пострадали примерно 20 млн карт Visa и карты других сетей, включая American Express и Discover.
MasterCard и Visa предупредили о подвергающихся риску счетах входящие в их сети банки, так что те могут принять меры для защиты владельцев карт.
«Чисто количественно это, вероятно, один из крупнейших взломов сети», — прокомментировал главный аналитик Javelin Strategy & Research Ван Дайк.
Согласно заявлению MasterCard, инцидент произошел в компании CardSystems Solutions (Туксон, штат Аризона), которая занимается обработкой платежных данных. Злоумышленнику удалось воспользоваться уязвимостями в нефильтруемой сети CardSystems и получить доступ к данным о владельцах карт.
CardSystems — одна из нескольких независимых компаний, которые обрабатывают транзакции для банков и торговых организаций. Брешь в защите ее сети была обнаружена с использованием инструментов, предназначенных для проверки подлинности кредитных карт.
Украдены только номера кредитных карт; MasterCard утверждает, что на картах не содержится номеров социальной защиты или дат рождения клиентов. Полученная злоумышленниками информация может использоваться для мошенничества с кредитными картами, но не для подмены личности.
Visa распространила заявление, в котором утверждается, что компании известно об инциденте и она ведет работу с правоохранительными органами и банками по контролю и предотвращению мошенничества. MasterCard, Discover, Visa уверяют, что пользователям карт не придется отвечать за незаконные операции с их картами, если таковые будут иметь место.
Инцидент, предположительно, произошел в прошлом месяце. В распространенном в пятницу заявлении CardSystems говорится, что в компании заподозрили взлом в воскресенье 22 мая и на следующий день позвонили в ФБР, а также оповестили Visa и MasterCard.
После этого CardSystems провела проверку систем защиты и по результатам этой проверки изменила некоторые процедуры.
Волна утечек
Этому взлому предшествовало несколько других серьезных инцидентов, подвергающих американских потребителей опасности подмены личности. На прошлой неделе компания CitiFinancial сообщила, что службой United Parcel Service при передаче в кредитное бюро были потеряны ленты с незашифрованной информацией о 3,9 млн заказчиков. CitiFinancial — это дочерняя компания Citigroup, специализирующаяся на потребительских финансовых операциях.
За последние месяцы об утечках данных сообщили Bank of America и банк Wachovia, компании по обработке данных ChoicePoint и LexisNexis, а также Калифорнийский университет в Беркли и Стэнфордский университет.
Два недавних опроса выявили растущее беспокойство людей по поводу защиты данных. В среду организация Cyber Security Industry Alliance сообщила, что 97% из опрошенных американских избирателей сказали, что подмена личности — проблема, требующая решения, а 64% хотят, чтобы правительство делало больше для повышения компьютерной безопасности.
Исследование, проведенное по заказу Adobe Systems и RSA Security, обнаружило также, что в Вашингтоне восемь из десяти «профессионалов высокого уровня» считают, что законодатели недостаточно делают для того, чтобы обезопасить данные потребителей.
В США владельцы карт MasterCard защищены от несанкционированных операций по их счетам, утверждает компания. Если владелец карты подозревает, что его картой пользуются мошенники, он может заявить об этом в свой банк.
Ван Дайк из Javelin Strategy & Research советует владельцам карт следить за своими счетами в онлайне. «В случае подмены личности первыми, скорее всего, об этом узнают сами владельцы карт», — говорит он.
CardSystems уже приняла меры для повышения безопасности своей системы. И все же MasterCard установила для обработчика данных неразглашаемый срок, к которому тот должен продемонстрировать полную безопасность своей системы.
Предыдущие публикации:
В продолжение темы:
|
|
| Капитан Немо - capitannemoyandex.ru 19 Jun 2005 6:41 PM |
По-моему в в компании работали некомпетентные специалисты. Хакеры запустили туда вирус, но они проморгали потому, что надо хоть изредка использовать такие средства как антивирус и файервол. |
|
| NeoPlanet 19 Jun 2005 11:01 PM |
> По-моему в в компании работали некомпетентные специалисты. Хакеры запустили туда вирус, но они проморгали потому, что надо хоть изредка использовать такие средства как антивирус и файервол. А ты типа знаешь, что у них там было? Антивирус и фаервол, насмешил. |
|
| AT 20 Jun 2005 1:56 AM |
Капитан: Если ты наивно будешь полагать что антивирус спасет тебя от всех напастей то ты сильно ошибаешься. Зайди на http://www.drweb.ru/ и почитай сколько за неделю новых вирусных программ ловятся (порядка 500) и раскинь мозгами и прикинь какой это % от ВСЕХ таких программ составляет. Плюс - для того что антивирус словил что-то надо что-то кто-то достаточно компетентый сумел сначала найти экземляр такого вируса и отправить разработками антивируса. Это не за день и не за два делаеться. Так-же не надо строить пальцы веером и наивно полагать что платя какие-то 40 у.е. в год можно обезопасить свой бизнесс в котором крутяться миллиарды ! |
|
| NeoPlanet 20 Jun 2005 9:04 AM |
Такие сети не ломаются вирусами, они ломаются заказным поиском уязвимостей в сети, и ищут там не один человек, и не один день. Антивирус, фаервол, фу блин, смеялся минут пять :) |
|
| Thinker - thinkeryahoo.com 20 Jun 2005 11:02 AM |
ИМХО, наверняка у ребят внутри был друг, который помог и уязвимость найти и программку нужную запустить. Сейчас чисто извне почти ни одна система не ломается - всегда, если порыться повнимательнее, находится инсайдер. |
|
| чр. 20 Jun 2005 11:15 AM |
вирус то СПЕЦИНАЛНЬо дл янизхх написали. так что наивно полагать что онг есть в базе касперского.. ъотя все равно некомпетентнсоть информационой службы безопасности на лицо.. как мимнму могли отследить СТРАННЫЕ обращения к базе-> 40 милионов это не /etc/passwd стащить... |
|
| timig 20 Jun 2005 11:17 AM |
Я думаю что вряд ли они прям сами по себе заметили то что кто-то получил доступ к этой информации, скорее всего там уже до фига украдено со счетов людей....пришлось признать:) |
|
| чр. 20 Jun 2005 11:17 AM |
NeoPlanet+ты не прав -> изнурти легче как раз именно таки сети взломать.. а вирус самое АНОНИМНОЕ средство-> теv более елси он еще где то побывал.. найти самого хаерка гораздо сложнее чем если был "целенарпвлейн взлом". те тоупой заспамливание ВСХЕ ящиков жертвы.. явано приведет хоть к ОДНОМУ ЗАПУСКУ трояна-> а далеь все. считай вся сеть. в руках... другое дело если есть нормальна служба безопаснти он должна СРЕАГИРОВАТЬ... те если и утащат.. то не много- и следы остангустся-> |
|
| чр. 20 Jun 2005 11:18 AM |
ну что быдум наблюдать как обанкротится очнеь крупаная компания? изи хакеров.. будет ли ждать такое ЖЕ MS? |
|
| Петр Савельев - savelievpetrmail.ru 20 Jun 2005 11:44 AM |
Странные мысли посещают меня. А не рекламный ли это ход? Ну а на счет антивируса и файервола, улыбно :) В крупнух компаниях с высокими требованиями к надежности служба безопасности должна не только следить, но и содержать штат высококвалифицированных специалистов, которые будут выступать в роли хакеров и заниматься поиском уязвимостей. Если такого отдела в компании не существует, то он найдется вне компании. Благо -конкуренция в любой отрасли сейчас имеется, и не применет им воспользоваться. |
|
| Mark 20 Jun 2005 11:44 AM |
"И все же MasterCard установила для обработчика данных неразглашаемый срок, к которому тот должен продемонстрировать полную безопасность своей системы." а раньше они им что, на слово верили? ну и бардак. "В США владельцы карт MasterCard защищены от несанкционированных операций по их счетам, утверждает компания. Если владелец карты подозревает, что его картой пользуются мошенники, он может заявить об этом в свой банк." а что, в других странах иначе? "Ван Дайк из Javelin Strategy & Research советует владельцам карт следить за своими счетами в онлайне." ну правильно - небыло у бабы забот... приобрела баба кредитку :)
|
|
| Андрей 20 Jun 2005 12:13 PM |
Да, события, которые показаны в фантастическом худ. фильме "Сеть" становятся все более и более реальными. Причем реальность все ближе и ближе к действию этого фильма. К сожалению. |
|
| Mark 20 Jun 2005 4:09 PM |
чем больше полезной информации скапливается в Интернете, тем все масштабнее становятся интернет-кражи. Причем масштаб интернет-краж все увеличивается с увеличением объема полезной информации в Интернете :))) |
|
| VicTor 20 Jun 2005 5:39 PM |
2Петр Савельев: > Странные мысли посещают меня. А не рекламный ли это ход? А кому нужна ТАКАЯ реклама? Независимому процессинговому центру CardSystem Solution? Вряд ли. Они ведь строят свой бизнес на надёжности. А ну как все банки перейдут на другой процессинг? Будут лапу тогда сосать или ещё что... MasterCard? Тоже вряд ли. У них тем более бизнес построен на надёжности. Потому и молчали так долго, пытались втихую разобраться с этим процессингом. Да, видимо, надоело и пришлось продемонстрировать заботу о своих клиентах. Visa-то больше пострадала, но всё терпела, терпела... и не успела... Интересно другое, решатся ли они опубликовать результаты расследования? Какие железки стояли в процессинге? Какая операционка использовалась? Как осуществлялся взлом? Через какую дырку влезли? Или замнут, как наши тот случай сбоя программатуры в Сбербанке?
|
|
| VicTor 20 Jun 2005 5:53 PM |
Если немного "погуглить", то можно найти, что: "CardSystems employs software based on its eCardSMART architecture to meet the varying delivery needs of clients." |
|
| sm4 - post314mail.ru 20 Jun 2005 6:33 PM |
Да, вирус -совершенно дурацкое название для такой программы. Что значит "украсть 40 000 000 номеров" . Один только оператор Select к базе данных будет делать это несколько часов. При этом все остальные сильно повиснут, т.к. защиты от длинных транзакций просто нет. Для сравнения, я делал запрос по торгам на валютной бирже по российскому рублю за 3 года, это всего ~ 600-800 результатов, HP 9000 делал это ~10 минут. А передать , даже по 4 мбитному каналу ? Понятно , что это длилось - годы или много-много месяцев. Это явно не прохожий с улицы. Что касается файрвол, то это обязательный компонент оборудования- файрвол хардвэа, небольшой такой ящик , размером с офисный маршрутизатор. Однако не помог. |
|
| Kon 20 Jun 2005 11:51 PM |
2 sm4 А почему Select к базе данных? Кто знает, что это за база? А если списали файл? 40 000 000 номеров это примерно 610 мегабайт - один номер 16 байт, (незапакованных, кстати). Сгрузить такой файл на скорости 256 килобайт - это около 40 минут. А если упаковать и с большей скоростью - справимся за пять минут. Так, что не все так плохо ;))) |
|
| Да уж ... 21 Jun 2005 12:44 AM |
>Сгрузить такой файл на скорости 256 килобайт - это около 40 минут А на сидюк слить прямо внутри конторы? Дела так и делаются, имхо... |
|
| AT 21 Jun 2005 6:04 AM |
2Да уж: Представляю себе вирус который на СД или ДВД записывает и потом печатает конверт с адрессом и инструкции секретарше что в него запаковать и куда послать :-) |
|
| Да уж ... 22 Jun 2005 1:25 AM |
2AT У этого "вируса" внешность типичного локального админа, однако...
|
|
| Петр Савельев - savelievpetrmail.ru 22 Jun 2005 6:04 PM |
>А кому нужна такая реклама? Например, компаниям, которые занимаются созданием систем банковской безопасности. Ведь была же наложена секретность, а ее не побоялись нарушить. Думаю вряд ли крупная компания пошла бы на конфликт со спецслужбами. MasterCard такая реклама действительно ни к чему. Но потребители уже не смогут отказаться от банковских карт, даже если будут иметь место такие "сбои". Однако для вендоров ПО, нет разницы кому продавать системы безопасности. Подъем в этой отрасли породил соответствующую волну конкурентной борьбы на рынке. Это всего лишь гипотеза, но у нее есть полное право на жизнь... |
|
| VicTor 22 Jun 2005 10:02 PM |
Т.е. получается, что MasterCard так обиделась, что решила завалить одного из производителей систем безопасности? "С 19 по 22 октября в Киеве прошла 9-я специализированная выставка систем и средств безопасности "БЕЗПЕКА 2004". В выставке приняли участие более 100 экспонентов, представивших свои самые последние достижения в области обеспечения безопасности. Один из самых заметных стендов всей экспозиции принадлежал компании CARDSYSTEMS, представившей на выставке, помимо своей продукции, комплекс управления и безопасности объекта LEGOS. Сотрудники компании отметили растущий интерес потребителей подобной продукции к современным комплексам безопасности, позволяющим объединить охранно-пожарную сигнализацию, систему контроля доступа, управления системами жизнеобеспечения и цифрового видеонаблюдения. На стенде CARDSYSTEMS демонстрировались такие возможности LEGOS, как: - работа в режиме "бюро пропусков" - совместимость с различными типами турникетов - работа ОПС и СКУД в едином комплексе." http://www.secnews.ru/company/10996369154.htm
|
|
| vas 24 Jun 2005 1:05 PM |
2sm4 "Один только оператор Select к базе данных будет делать это несколько часов. При этом все остальные сильно повиснут, т.к. защиты от длинных транзакций просто нет. Для сравнения, я делал запрос по торгам на валютной бирже по российскому рублю за 3 года, это всего ~ 600-800 результатов, HP 9000 делал это ~10 минут" - бедные ваши пользователи. О грязном чтении вы слышали? Для данной ситуации, когда в базе лежит статическая информация Read uncommitted и вперед с песней без всяких блокировок. |
|
| Петр Савельев - savelievpetrmail.ru 24 Jun 2005 6:57 PM |
> Т.е. получается, что MasterCard так обиделась, что решила завалить одного из производителей систем безопасности? Вряд ли. Скорее это кункурентная борьба самих производителей. А MasterCard видимо пришлось признать утечку данных, чтобы пресса не обвинила их в сокрытии важной информации от клиентов, что гораздо сильнее ударило бы по авторитету компании. |
|
|