信用卡資料外洩案 惡意程式搞的鬼

留下回應

分享

    

萬事達卡國際機構表示，付款資料處理公司CardSystems Solutions資料遭駭客入侵，導致逾4,000萬筆帳戶資料外洩案，經調查發現是駭客利用軟體安全漏洞在CardSystems網路中植入惡意程式所致。

萬事達卡國際機構發言人Jessica Antle說，該惡意程式會抓取信用卡資料。

調查人員是在檢查CardSystems的網路時，發現這個惡意程式。萬事達卡委託Cybertrust公司調查數家銀行的報告有無異常情況時，安全專家循線追查，源頭都導向CardSystems。

調查結果也顯示，總部在亞特蘭大的CardSystems不符合萬事達卡的安全規定，例如這家付款處理公司把應刪除的紀錄仍保存下來，還用未加密的形式儲存交易資料，Antle說。

萬事達卡以FBI已介入調查過程為由，拒絕透露進一步的資料。CardSystems未回覆記者訪問的電子郵件或電話。Cybertrust發言人則不予置評。

同時，線上討論區對CardSystems的軟體系統的脆弱不堪議論紛紛。CardSystems的網站使用微軟Windows 2000作業系統及IIS Server 5.0，因而引起網友揣測這家付款處理公司其他的設備也可能採用微軟的軟體。

案情概述

CardSystems 17日發表聲明說，已確定5月22日周日當天發生「可能的安全入侵事件」，並於次日向FBI報案，另通報威士卡與萬事達卡機構。萬事達卡找出所有受影響的帳戶後，17日向民眾公開此事，Antle說。

調查後發現，超過4,000萬個信用卡帳戶資料外洩，其中威士卡占大約2,200萬筆，萬事達卡占1,390萬筆，其餘則是包括美國運通卡、Discover卡等信用卡。

儘管駭客可能已存取數百萬的帳戶資料，但調查結果發現，那些紀錄涵蓋約20萬張透過非CardSystems網路交易的信用卡，其中約6.8萬張屬於萬事達卡，Antle說。

竊賊取得的資料包括姓名、帳號、認證碼等，可能用來盜刷，但失竊的資料不含冒用身分所需的社會安全號碼、住址或出日年月日。

CardSystems是處理電子付款的眾多公司之一，該公司每年代10.5萬家中小企業處理的信用卡交易金額超過150億美元。

所有的大型信用卡公司都保障遭盜刷客戶的權益，所有未經授權的信用卡交易金額通常都會退還。專家建議，持卡人應上網監視自己的帳戶，若懷疑遭到盜刷，即應連絡信用卡公司或發卡銀行。

保持緘默

美國大型信用卡發卡機構MBNA說，已接到CardSystems通知顧客帳戶外洩的消息。該公司不會個別通知受影響的用戶，但會密切監看資料外洩的帳戶。MBNA發言人Jim Donahue說，萬一信用卡被盜刷，該帳戶就會關閉，並另發新卡。

美國運通銀行仍未決定是否連繫個別的客戶。發言人Christine Elliott說，有一些帳戶資料外洩，但她不透露確切數字。她指出，萬一發生盜刷事件，倘若商家已遵守信用卡交易的標準程序，所有財務責任由美國運通負責。

MBNA也不願透露受影響的客戶帳戶有多少。

在CardSystems驚傳資料外洩之前，美國最近頻頻發生眾所周知的資料外洩事件，可能讓美國消費者暴露於身分資料遭到冒用的風險之中。

兩周前，花旗集團旗下融資部門CitiFinancial說，內含390萬筆顧客未加密資料的磁帶被United Parcel Service (UPS)在運往一家徵信社的途中弄丟。過去幾個月來，Bank of America和 Wachovia銀行、資料經紀商ChoicePoint與LexisNexis，乃至於柏克萊加州大學和史丹福大學，都紛紛爆發資料外洩事件。

兩項調查報告凸顯出民眾對當前資料保護措施的不足愈來愈憂慮。

網路安全工業聯盟(Cyber Security Industry Alliance)15日公布的報告顯示，97%的美國選民認為，身分冒用是亟需解決的問題，另有64%要求政府加強電腦安全防護。

此外，Adobe Systems與RSA Security委託進行的另一項調查發現，華盛頓首府地區十位「高階專業人士」當中，就有八位認為，國會議員在維護消費者資料安全方面，做得不夠。（唐慧文）