近日,万事达公司在一份新闻稿中公布一条震惊全球的消息:4000万信用卡用户的信息可能被窃。这次事件涉及到1390万名万事达客户、2200万Visa 客户以及数量不详的美国运通和Discover客户。
通过侵入一家结算处理公司的计算机,黑客显然偷走了20万张信用卡和借记卡账户的数据,并可能访问了4000万名信用卡的信息。万事达信用卡国际公司发言人Jessica Antle证实,不过,此次安全违规事件的根源是CardSystems公司,一家为数家信用卡处理交易的第三方公司。
Antle说,此次安全违规事件涉及一种计算机病毒。这种病毒为欺诈窃取顾客数据,可能影响到所有品牌信用卡用户。他表示,黑客可能利用了该公司系统的漏洞,进入了该公司的网络并获取了客户的信息。
尽管Antel说顾客不必为身份偷窃担心:“社会保险号、出生日期以及诸如此类的信息根本就没有保存在信用卡上。”但来自各国的评估和欺诈性交易报告显示,此次用户信息被窃已经导致了欺诈性交易:一些用户信用卡出现了高档产品消费。
美国联邦调查局(FBI)已开始调查此事。
泄漏发生在数周前
据《New York Times》报道,这次安全违规事件可以追溯到4月中旬,当时万事达国际公司注意到异常的欺诈消费。《New York Times》援引CEO John M. Perry的话说,被偷窃的记录因“研究目的”保存在CardSystems公司的一个计算机文件中。
《New York Times》援引他的话说:“我们不应当这样做。” 使用保存记录的研究涉及确定一些交易为什么未过经授权或不完整的原因。
万事达公司在透露这次事件时说,此次安全违规事件发生在CardSystems设在亚利桑纳州Tuscon市的运营中心。据CardSystems发表的声明说,FBI是在5月23日被告知此事的。该公司在声明中说,公司已经部署了一位调查安全审计员建议的改进的和额外的安全程序。
CardSystems每年为105000多家中小企业处理交易,并且每年为MasterCard、Visa、Discover和American Express以及在线借款处理150亿美元的交易。
同时,安全厂商Secure Computing公司在这次安全事件透露后发现了第一起在主题行中借用万事达名义警告电子邮件用户的网页钩鱼欺诈。最初的欺诈似乎显得是仓促上阵,因为它没有提到这次安全事件,可能是改头换面的老骗局。Secure Computing预测未来几天欺诈骗局将继续出现,可能还会变得更加狡滑,尤其在主标行或内容中提到最新的重大安全事件新闻时。
Secure Computing公司公关经理David Burt说:“消费者肯定应当知道。”这次涉及众多信用卡公司的引起广泛关注的最新安全违规事件,无疑将成为美国国会未来辩论的主题。美国国会已有20多项从这样或那样角度涉及身份偷窃的议案在酝酿中。
Forrester公司分析师Paul Stamp说,公开披露CardSystems安全违规事件(尽管是在事件发生的数周后披露的)可能在某种程度上是对加州参议院有关隐私与个人信息的1386法案的反应。他说,未来应当出现对这类事件更多的披露。
他说:“这类事件肯定会发生。它们可能过去一直在发生。”现在不同是公众要求有人承担责任。CardSystems无疑有很多问题需要回答。《New York Times》报道说,被盗的数据没有被加密,并且信用卡公司发表声明说CardSystems没有遵守他们的恰当的安全要求。
黑客能量越来越大
这并没有使实现这种偷窃所需要的技术变得那么不同异常。
公开透露的有关对CardSystems Solutions公司的攻击情况的信息没有多少。FBI和这家公司都对这次黑客行动的细节缄口不言。当被问及公司115名雇员中是否有人与此案有关时,CardSystems公司高级营销副总裁Bill Reeves告诉美联社说,公司“目前不能排除任何情况”。当记者逼迫他详细说明时,他说,由于正在进行的调查,他不能发表评论。
即使如此,目前了解的情况足以使计算机安全专家做出有根据的推测。
安全研究人员说,信用卡盗贼在线社区在利用金融网络弱点上越来越精明。甚至常常被嘲笑为“脚本小子”的恶作剧者,都可以从一大堆容易得到的工具中,剪切、粘贴发动攻击所需要编程代码?D?D甚至不必理解它们的工作原理。
TraceSecurity公司首席技术官Jim Stickley说:“我认为脚本小子就可以干这件事。我不认为这有多难。”在公布这次泄密事件时,MasterCard说有人在CardSystems的网络中植入了一种类似于病毒的程序。CardSystems随后承认泄露的数据因“研究目的”被不当地保存,而不是在交换完成后删除。
如果这种“研究”涉及将数据转移到CardSystems网络不太安全的部分?D?D也许说,使CardSystems程序员可以在真正的信用卡记录上进行试验?D?D使用常规探测系统寻找软肋的外部人员可能发现了这些文件。IBM公司金融服务实践风险与遵从性解决方案主管Jonathan Rosenoer说:“现在你每一次Internet连接都会遭到数百次攻击。”
TraceSecurity公司首席技术官Jim Stickley给出了一种简单的情景:某人可以向一位CardSystems雇员发送一封内有与假在线贺卡链接的电子邮件。这个链接将带来预期的跳舞的小狗或其他他欢快的场面,而在背后,一个“特洛伊木马”程序会在计算机上扎下根,准备向外部人员转发信息。由于木马程序通过通常为Web浏览留下的通信端口进入计算机,攻击将不会被入侵检测软件发现或被防火墙阻止。
旧金山计算机安全协会主任Robert Richardson说,目前出现了越来越多的释放特洛伊木马的自动工具以及其他入侵复杂系统的工具。“他们非常快地沿食物链升级。”Postal Service and Citigroup公司前信用卡欺诈调查员Tom Kelly说,CardSystems黑客活动似乎是一个老练团伙的杰作。这个团伙准确地知道要拿哪类文件。
黑客背后的黑市
黑客盗窃信用卡信息的背后是利润可观的黑市。
据报道,一些信用卡账号已经在俄罗斯的网站上出售,一些消费者已经在对账单中发现了欺诈性交易。“我们看到在俄罗斯的一些聊天室,很多人在谈论电子犯罪集团的此次重大胜利。”iDefence公司的技术人员称。
实际上,出售这些信用卡信息可以让黑客赚得巨款。据网上欺诈分析师估计,每个万事达卡即便账号价值42美元。金卡,比如上限较高的白金或黄金卡则售价会高达70美元。
一些用户也发现欺诈性消费,银行已将在加拿大、英国和亚洲的一些可疑的消费活动通知给了持卡人。
链接 常识性防范措施
黑客攻击尽管猖獗且手段越来越高明,但信用卡用户仍可以通过一些简单的手段进行防范。
消费者组织和信用卡公司说,消费者可以采取常识性防范措施避免的威胁:从经常上网检查账目到如果每月账单没有出现在邮件中时直接给信用卡公司打电话。
※ 计算机取证与技术公司下属部门Stroz Friedberg Investigations高级调查员Tom Kelly说,一定要让您的信用卡公司掌握您目前的电话号码,这样当他们看到信用卡上出现可疑的交易时,可以给您打电话。
※ 美国公众利益研究组织消费者权益鼓吹者Ed Mierzwinski说,不要在Internet上使用借记卡。借记卡欺诈行为会用光您活期存款账户中的资金。
※ Mierzwinski说,如果您收到有关账户可疑活动的电话或电子邮件,不要通过电话或上网提供信息。相反,记下信用卡代表的名字,然后按照信用卡背面上所列的电话号码给他们回电话。
※ Consumers Union政策分析师Susanna Montezemolo说,跟踪记录您的交易。您应当能够告诉信用卡公司代表您的最后5笔交易的情况。
※ 消费者金融教育协会执行主管Paul Richard说,少使用信用卡。他的组织销售的信用卡套子上写着:“如果您可以吃饭、喝水、穿衣,这就不是急事。”
※ 如果信用卡的每月对账单没有邮寄来,通知您的信用卡公司。一旦检查确认账目正确后,撕掉这些账单。您还要撕掉信用卡申请,以防他人利用您的名字申请信用卡。
※ Montezemolo说,保存好收据,并对照这些收据检查信用卡账目。如果您可以上网查看账目,每周检查它们一次。她说:“一些人通过一个诚实的错误发现商让给交易金额后面多加上一个零。”
※ 将您账户号码、它们的失效日期以及信用卡公司的电话号码的记录保存在一个安全的地方。
※ 不要将信用卡付款单留在家庭邮箱中。相反,通过邮局或安全的邮箱邮寄它们。
※ 当您外出旅行时,请谨慎在网吧或提供无线连接的场所使用信用卡。
※ 每年至少一次检查信用报告。
受到波及的部分亚太国家 中国 4万以上
据中国工商银行牡丹卡中心,万事达卡已经通知该行,大约5560名中国持卡用户,包括近500名牡丹卡用户会受到影响。维萨还没有提供受影响的中国信用卡用户数量。中国人民银行已要求所有信用卡组织妥善处理此事,并要求国内信用卡机构保持警惕,采用措施防范此类事件。
据报道,大约1.6万名我国台湾信用卡用户将会受到此事影响,包括7000 名维萨卡用户,其余为万事达卡用户。大约2万香港信用卡用户可能存在风险。9000名香港维萨卡用户受到影响,万事达则称9730名香港用户受到影响。香港有关机构负责人要求最近在美使用过信用卡的用户密切留意自己的对账单。
日本 6.7万
日本政府6月22日称,美国的信用卡数据泄漏事件可能会影响日本的6.7万名持卡用户。最新的报道则称,可能有8万日本信用卡用户信息被窃。
日本经济产业省的声明显示被窃信用卡信息有增大的可能性。来自经济产业省的官员称,大约4.6万名维萨卡和2.1万名万事达卡日本用户的信息可能已经被泄漏。还有大约31名日本信息卡公司JCB的持卡者信息被窃。
据媒体报道,日本持卡者投诉有高达3000万日元(约合27.5万美元)的欺诈性消费。
澳大利亚 12.7万
高达12.7万个澳大利亚信用卡用户可能因美国发生的信用卡信息被窃而受到影响。
大约5万名万事达卡澳洲使用者,7.7万名维萨卡澳洲用户可能面临欺诈消费的风险。
去年以来与美国企业有过在线交易或实地交易的澳大利亚人,交易通过Cardsystems处理的,可能会受到影响。
新西兰 1.3万
大约1.3万名新西兰持卡用户的信息被窃。维萨机构称,1.2万名持卡用户受到影响,其中650人处于高风险中。
万事达机构称,已建议银行1000张信用卡,5560张持卡人可能受到影响。已有数家银行承诺将重新发放信用卡,以保护用户免受侵害。
万事达发言人要求信用卡用户监控自己的对账单。在新西兰,Westpac正在重新发放4000张信用卡,尽管还没有出现欺诈交易。
链接:近期美国金融信息泄漏事件
2005年2月,美洲银行120万联邦政府雇员的社会保险号码和其他信用卡资料的电脑磁盘丢失。其中包括美国国会参议员的数据资料。
5月,美国四家大银行的约50万客户的电子账户记录被不法分子窃取,并被转手卖给了债务公司。这4家大银行分别是总部设在北卡罗莱纳州的美国银行公司和瓦霍维亚银行公司,新泽西州的切尔希里商业银行和匹兹堡国民商业银行公司。
6月,世界最大银行美国花旗集团丢失了一批记录着390万客户账户及个人信息的电脑记录数据带,而直接导致这一丢失事件发生的竟然是美国快递业三大巨头之一的联合包裹运送服务公司(UPS)。