17 Марта 2006 12:03 17 Мар 2006 12:03 |

Поделиться

Из магазинов "утекают" данные о кредитках

По словам экспертов по безопасности, проблема заключается в хранении PIN-кодов пластиковой карты. Раскрытие столь большого количества кодов наводит на мысль о том, что некий национальный оператор розничной торговли занимался накоплением информации о клиентах, даже несмотря на то, что такие действия противоречат правилам, установленным крупнейшими компаниями-распространителями карт. Аналитики заявляют: данная утечка помогла установить, что меры защиты PIN-кодов недостаточны. "Долгое время идентификация по PIN-коду считалась весьма безопасной, – говорит Эдвард Каунц (Edward Kountz), аналитик по финансовым услугам Jupiter Research, – Эта кража наводит на мысль о том, что все не так хорошо, как казлось".

Серия краж информации о пластиковых карточках охватила территорию от Сиэтла до Северной Каролины. В течение прошлого месяца в средствах массовой информации наибольшее внимание уделялось вопросу о том, у какой конкретно фирмы произошла утечка. По данным полицейских чиновников, значительное количество жертв делало покупки в сети канцелярских магазинов OfficeMax. Компания отрицает возможность утечки и подчеркивает, что в ходе внешнего аудита проблем обнаружено не было, хотя в компании по-прежнему ведется расследование по этому делу.

Полиция Нью-Джерси арестовала 14 человек, связанных с данным преступлением. Подозреваемые, граждане США, обвиняются в производстве поддельных карт с помощью украденной информации о кредитных и дебетовых картах. Фальшивые карты использовались в мошеннических целях: на них делались покупки и со счетов владельцев карт снимались наличные, сообщил прокурор округа Хадсон Эдвард ДеФацио (Edward DeFazio). Большинство арестов было произведено в последние две недели.

Однако по мере того, как агенты ФБР и Секретной Службы продолжают расследование, эксперты по безопасности все меньше беспокоятся о том, где это произошло, и все больше – о том, может ли подобное произойти снова. Действительно, эта кража может знаменовать начало нового века компьютерных преступлений, считает аналитик по безопасности Gartner Авива Литан (Avivah Litan): "Мораль этой истории такова, что, по-видимому, существуют еще сотни компаний, хранящих PIN-коды". Г-н Литан отмечает, что у многих розничных операторов используется такая же технология и такие же методы работы.

В большинстве розничных магазинов регистратор передает информацию в "контроллер терминалов", выступающий в роли главного сервера. Контроллер терминалов шифрует данные каждого регистратора. В некоторых магазинах шифровальный ключ хранится также на контроллере терминалов. Это очень облегчает задачу злоумышленников, которые в случае успешного взлома контроллера получают и данные, и ключ для их дешифровки.

Где тонко, не рвется: как BI-продукты помогают увидеть узкие места и принять верное решение

Импортонезависимость

Хранение шифровальных ключей и данных клиентов запрещено пунктом 3.2.3 Промышленного стандарта безопасности данных платежных карт – набора требований, разработанного Visa и общепринятого среди других крупных распространителей карт. Компании, нарушающие это правило, могут быть оштрафованы. Однако существует возможность получения и хранения данных клиентов по ошибке. "Возможно, менеджер магазина не знал, что это происходит", – говорит г-н Литан.

Цитируя неназванный источник, журнал American Banker изложил теорию, к которой склоняется большинство экспертов, о том, что хакеры, скорее всего, взломали компьютерные системы неизвестного оператора розничной торговли примерно в 30 магазинах, в основном на Западном побережье и на юго-востоке США. Добычей грабителей стали данные магнитных полос карточек, PIN-коды и ключи для их дешифровки.

Тем не менее, по мнению Майка Урбана (Mike Urban), директора по предотвращению мошенничеств с использованием технологий компании Fair Isaac, одна кража PIN-кодов не означает порока всей системы. "Не уверен, что эта проблема так уж распространена, – говорит г-н Урбан. – В этом бизнесе главное – следовать правильной методике и внедрять правильные системы. Хотя, конечно, повторение такого происшествия в будущем нельзя исключать".

Поделиться

Подписаться на новости Короткая ссылка