Carding
Professional
- Messages
- 2,870
- Reaction score
- 2,494
- Points
- 113
Сезон праздничных покупок снова приближается. Еще одно событие, которое наступило вместе с сезоном покупок, - это сезон утечки данных о крупных розничных магазинах.
Сезон покупок снова приближается. Еще одно событие, которое наступило вместе с сезоном покупок, - это сезон утечки данных о крупных розничных магазинах.
О взломе Target попали в заголовки газет по всей стране, а вскоре после этого произошло нарушение в Home Depot. Оба нарушения привлекли большое внимание, в первую очередь потому, что количество затронутых банковских карт было очень большим - более 70 миллионов номеров дебетовых и кредитных карт были раскрыты в случае Target и 56 миллионов были обнаружены в Home Depot.
К счастью, мошеннические действия с номерами украденных карт были очень незначительны, в первую очередь потому, что нарушения были обнаружены довольно быстро, что делало их относительно незначительными инцидентами в схеме вещей по сравнению с другими нарушениями, которые произошли за эти годы и привели к потерям в миллионы долларов. Однако взлом Target был примечателен еще по одной причине: когда дело дошло до безопасности, компания многое сделала правильно, например, зашифровала данные своих карт и вскоре установила современную систему мониторинга стоимостью несколько миллионов долларов. до того, как произошло нарушение. Но хотя система работала точно так, как было задумано, обнаруживая и предупреждая сотрудников, когда выяснялось, что конфиденциальные данные были выведены из ее сети, работники не смогли отреагировать на эти предупреждения, чтобы предотвратить кражу данных.
Ниже мы оглядываемся на десятилетие заметных нарушений, многие из которых произошли, несмотря на установление стандартов безопасности индустрии платежных карт, которые должны защищать данные держателей карт и уменьшать вероятность их кражи или использования преступниками, даже если они были обнаружены.
Стандарт безопасности PCI (.pdf), который вступил в силу в 2005 году, представляет собой список требований, таких как установка брандмауэра и антивирусного программного обеспечения, изменение паролей поставщика по умолчанию, шифрование передаваемых данных (но только если они пересекают общедоступный network) - компании, обрабатывающие платежи по кредитным или дебетовым картам, обязаны иметь в наличии. Компании должны получать регулярные сторонние аудиты безопасности от утвержденного оценщика для подтверждения текущего соответствия. Но почти каждая компания, которая стала жертвой взлома карты, была сертифицирована как соответствующая стандарту безопасности PCI на момент взлома, но не соблюдала его при оценке после взлома.
1. CardSystems Solutions - 40 миллионов карт. CardSystems Solutions, ныне несуществующая компания по обработке карт в Аризоне, считается первым крупным бизнесом, нарушенным после принятия в 2002 году закона Калифорнии об уведомлении о нарушениях.- первый закон в стране, требующий от предприятий сообщать клиентам, когда их конфиденциальные данные были украдены. Злоумышленники разместили в сети компании вредоносный скрипт, который был разработан для перехвата данных о транзакциях с картами, в результате чего хакерам были открыты имена, номера карт и коды безопасности около 40 миллионов дебетовых и кредитных карт. CardSystems хранила незашифрованные данные транзакции после завершения транзакции в нарушение стандарта безопасности PCI. Компания была сертифицирована на соответствие стандарту PCI в июне 2004 года и обнаружила, что в мае 2005 года она была нарушена.
2. TJX - 94 миллиона карт. TJX был лишь одним из более чем дюжины ритейлеров, взломанных Альбертом Гонсалесом и группой когорт, включая двух русских хакеров. Они взломали сеть TJX в 2007 году посредством военного дозвона - практика, при которой проезжают мимо предприятий и офисов с антенной, подключенной к ноутбуку со специальным программным обеспечением для обнаружения беспроводных сетей. Из беспроводной сети TJX они проникли в сеть обработки карт компании, которая передавала данные карты в незашифрованном виде. Первоначальное нарушение произошло в июле 2005 года, но не было обнаружено до декабря 2006 года. Дополнительные нарушения произошли позже, в 2005, 2006 годах и даже в середине января 2007 года, после того, как было обнаружено первое нарушение. Взлом обошелся компании примерно в 256 миллионов долларов.
3. Платежные системы Heartland - 130 миллионов карт. Альберт Гонсалес получил прозвище «хакер TJX», но предпоследним взломом, приписываемым ему и его русской хакерской банде, была Heartland Payment Systems - компания по обработке карт в Нью-Джерси. Хакерская операция началась с малого - сосредоточившись на TJX и других конечных розничных сетях, где впервые были собраны данные о картах клиентов. Но они быстро поняли, что реальное золото было у процессоров карт, которые объединили миллионы карт от разных предприятий, прежде чем направить данные карт в банки для проверки. Хартленд был оплотом процессоров: 250 000 предприятий ежемесячно обрабатывали через них около 100 миллионов транзакций по картам. В октябре 2008 года компания узнала, что его могли взломать., но на подтверждение нарушения ушло почти три месяца. Злоумышленники установили сниффер в нераспределенной части сервера Heartland и на несколько месяцев ускользнули от судебных следователей. До взлома Heartland шесть раз подтверждала соответствие требованиям, в том числе в апреле 2008 года. Нарушение началось в следующем месяце, но не было обнаружено до января 2009 года. Однако это стоило компании более 130 миллионов долларов в виде штрафов, судебных издержек и других расходов. компания возместила часть этого за счет страхования.
4. RBS WorldPay - 1,5 миллиона карт. Взлом RBS не имеет значения для количества затронутых карт - хакеры использовали только небольшое количество карт в своем распоряжении для своего ограбления - но для суммы денег, которую они украли с помощью карт. Это не было традиционным взломом розничного торговца или карточного процесса. RBS WorldPay является подразделением по обработке платежей Королевского банка Шотландии и предоставляет ряд услуг по обработке электронных платежей, включая электронные платежи по переводу пособий и предоплаченные карты, такие как платежные карты, которые некоторые работодатели предлагают в качестве безбумажной альтернативы зарплатным чекам. В ноябре 2008 года было обнаружено, что злоумышленники получили доступ к реквизитам счетов для 100 зарплатных карт и увеличили баланс взломанных карт, а также их дневные лимиты на снятие средств. В некоторых случаях они подняли лимит на снятие средств до 500000 долларов. Они разослали реквизиты карты армии кассиров, которые вложили данные в пустые карты. В ходе глобального скоординированного ограбления банкоматы обналичили более 2000 банкоматов с мошенническими картами, заработав около 9,5 миллионов долларов менее чем за 12 часов.
5. Barnes and Noble. Это нарушение вошло в список первой крупной операции, связанной с терминалами в точках продаж, хотя спустя более года после взлома Barnes and Noble до сих пор не предоставили никаких подробностей о нарушении или количестве карты затронуты . Все, что известно, - это то, что ФБР начало расследование инцидента в сентябре 2012 года. Программное обеспечение для скимминга было обнаружено на торговых точках в 63 магазинах Barnes и Noble в девяти штатах, хотя затронуто было только одно POS-устройство в каждом магазине. Неизвестно, как флотатор был размещен на устройствах.
Ограбление Barnes and Noble напоминало канадскую операцию, которая произошла несколькими месяцами ранее и включала взлом POS-терминалов с целью украсть более 7 миллионов долларов.. Полиция сообщила, что группа, базирующаяся в Монреале, действовала скоординированно с военной точностью, раздавая клонированные карты бегунам в сейфах. Одна часть банды отвечала за установку скимминговых устройств на банкоматах и за изъятие торговых точек (POS) в ресторанах и розничных магазинах, чтобы установить на них анализаторы, прежде чем возвращать их предприятиям. Полиция сообщила, что похитители доставили POS-терминалы в автомобили, фургоны и гостиничные номера, где техники взломали процессоры и сфальсифицировали их так, чтобы данные карты могли быть удалены с них удаленно с помощью Bluetooth. На внесение изменений потребовалось всего около часа, после чего устройства были возвращены предприятиям, а на следующий день снова открыты. Предполагается, что кольцо получило внутреннюю помощь от сотрудников, которые брали взятки, чтобы отвернуться.
6. Неизвестный обработчик карт в Индии и США. В ходе ограбления, которое было похоже на взлом RBS WorldPay, хакеры взломали неназванные компании по обработке карт в Индии и США, которые работали со счетами предоплаченных карт. Они увеличили лимиты на счетах и передали реквизиты кассирам, которые сняли более 45 миллионов долларов в банкоматах по всему миру.
7. Ресторан и ночной клуб Cisero's. Неизвестно, действительно ли была взломаны карты Cisero или, если это было так, сколько карт было украдено. Но не поэтому Сизеро попал в наш список. Небольшой семейный ресторан в Парк-Сити, штат Юта, попал в список, потому что он взял на себя битву Давида и Голиафа против индустрии карточных платежей за несправедливые штрафы за нарушение, которое так и не было доказано. В марте 2008 года Visa уведомила банк США о том, что сеть Cisero могла быть взломана после того, как карты, использованные в ресторане, использовались для мошеннических транзакций в другом месте. Банк США и его филиал Elavon обрабатывали транзакции по банковским картам для Cisero's. Ресторан нанял две фирмы для проведения судебно-медицинской экспертизы, но ни одна из них не обнаружила никаких доказательств того, что произошло нарушение или что данные платежных карт любого вида были украдены. Однако аудиты обнаружил, что в торговой системе ресторана хранятся незашифрованные номера счетов клиентов, что противоречит стандарту PCI. Visa и MasterCard наложили штрафы на US Bank и Elavon в размере около 99 000 долларов, поскольку в соответствии с системой PCI штрафуются банки и операторы карт, обрабатывающие транзакции для продавцов, а не сами торговцы и розничные торговцы. Затем US Bank и Elavon арестовали около 10 000 долларов США с банковского счета ресторана в банке США, прежде чем владельцы ресторана закрыли счет и подали в суд.
8. Global Payments Inc - 1,5 миллиона. Эта платежная система из Атланты заявила, что ее взломали где-то в январе или феврале 2012 года. Но в апреле 2012 года Visa предупредила эмитентов, что нарушение, вероятно, датируется 2011 годом и могло повлиять на транзакции, начиная с 7 июня 2011 года. Мало что известно о нарушении. Во время телефонной конференции с инвесторами в апреле 2012 года генеральный директор Пол Р. Гарсия сообщил слушателям, что нарушение было ограничено «горсткой серверов» в его североамериканской процессинговой системе и что никаких мошеннических действий ни на одной из карт не наблюдалось. В отличие от большинства нарушений, которые обнаруживаются только через несколько месяцев после вторжения и, как правило, только после того, как Visa, MasterCard и другие участники карточной индустрии замечают схему мошеннической деятельности на счетах, Гарсия утверждал, что его компания обнаружила нарушение самостоятельно. «У нас были меры безопасности, которые его поймали», - сказал он. Однако он признал, что что, хотя программное обеспечение компании по предотвращению потерь обнаружило данные, которые были украдены с серверов компании, оно не предотвратило их утечку. «Отчасти это сработало, а отчасти - нет», - сказал он инвесторам. Он сказал, что компания будет инвестировать в дополнительную безопасность. Нарушение обошлось компании примерно в 94 миллиона долларов; 36 миллионов долларов из этой суммы было потрачено на штрафы и убытки от мошенничества, а около 60 миллионов долларов - на расследование и устранение последствий.
По материалам wired.com
Сезон покупок снова приближается. Еще одно событие, которое наступило вместе с сезоном покупок, - это сезон утечки данных о крупных розничных магазинах.
О взломе Target попали в заголовки газет по всей стране, а вскоре после этого произошло нарушение в Home Depot. Оба нарушения привлекли большое внимание, в первую очередь потому, что количество затронутых банковских карт было очень большим - более 70 миллионов номеров дебетовых и кредитных карт были раскрыты в случае Target и 56 миллионов были обнаружены в Home Depot.
К счастью, мошеннические действия с номерами украденных карт были очень незначительны, в первую очередь потому, что нарушения были обнаружены довольно быстро, что делало их относительно незначительными инцидентами в схеме вещей по сравнению с другими нарушениями, которые произошли за эти годы и привели к потерям в миллионы долларов. Однако взлом Target был примечателен еще по одной причине: когда дело дошло до безопасности, компания многое сделала правильно, например, зашифровала данные своих карт и вскоре установила современную систему мониторинга стоимостью несколько миллионов долларов. до того, как произошло нарушение. Но хотя система работала точно так, как было задумано, обнаруживая и предупреждая сотрудников, когда выяснялось, что конфиденциальные данные были выведены из ее сети, работники не смогли отреагировать на эти предупреждения, чтобы предотвратить кражу данных.
Ниже мы оглядываемся на десятилетие заметных нарушений, многие из которых произошли, несмотря на установление стандартов безопасности индустрии платежных карт, которые должны защищать данные держателей карт и уменьшать вероятность их кражи или использования преступниками, даже если они были обнаружены.
Стандарт безопасности PCI (.pdf), который вступил в силу в 2005 году, представляет собой список требований, таких как установка брандмауэра и антивирусного программного обеспечения, изменение паролей поставщика по умолчанию, шифрование передаваемых данных (но только если они пересекают общедоступный network) - компании, обрабатывающие платежи по кредитным или дебетовым картам, обязаны иметь в наличии. Компании должны получать регулярные сторонние аудиты безопасности от утвержденного оценщика для подтверждения текущего соответствия. Но почти каждая компания, которая стала жертвой взлома карты, была сертифицирована как соответствующая стандарту безопасности PCI на момент взлома, но не соблюдала его при оценке после взлома.
1. CardSystems Solutions - 40 миллионов карт. CardSystems Solutions, ныне несуществующая компания по обработке карт в Аризоне, считается первым крупным бизнесом, нарушенным после принятия в 2002 году закона Калифорнии об уведомлении о нарушениях.- первый закон в стране, требующий от предприятий сообщать клиентам, когда их конфиденциальные данные были украдены. Злоумышленники разместили в сети компании вредоносный скрипт, который был разработан для перехвата данных о транзакциях с картами, в результате чего хакерам были открыты имена, номера карт и коды безопасности около 40 миллионов дебетовых и кредитных карт. CardSystems хранила незашифрованные данные транзакции после завершения транзакции в нарушение стандарта безопасности PCI. Компания была сертифицирована на соответствие стандарту PCI в июне 2004 года и обнаружила, что в мае 2005 года она была нарушена.
2. TJX - 94 миллиона карт. TJX был лишь одним из более чем дюжины ритейлеров, взломанных Альбертом Гонсалесом и группой когорт, включая двух русских хакеров. Они взломали сеть TJX в 2007 году посредством военного дозвона - практика, при которой проезжают мимо предприятий и офисов с антенной, подключенной к ноутбуку со специальным программным обеспечением для обнаружения беспроводных сетей. Из беспроводной сети TJX они проникли в сеть обработки карт компании, которая передавала данные карты в незашифрованном виде. Первоначальное нарушение произошло в июле 2005 года, но не было обнаружено до декабря 2006 года. Дополнительные нарушения произошли позже, в 2005, 2006 годах и даже в середине января 2007 года, после того, как было обнаружено первое нарушение. Взлом обошелся компании примерно в 256 миллионов долларов.
3. Платежные системы Heartland - 130 миллионов карт. Альберт Гонсалес получил прозвище «хакер TJX», но предпоследним взломом, приписываемым ему и его русской хакерской банде, была Heartland Payment Systems - компания по обработке карт в Нью-Джерси. Хакерская операция началась с малого - сосредоточившись на TJX и других конечных розничных сетях, где впервые были собраны данные о картах клиентов. Но они быстро поняли, что реальное золото было у процессоров карт, которые объединили миллионы карт от разных предприятий, прежде чем направить данные карт в банки для проверки. Хартленд был оплотом процессоров: 250 000 предприятий ежемесячно обрабатывали через них около 100 миллионов транзакций по картам. В октябре 2008 года компания узнала, что его могли взломать., но на подтверждение нарушения ушло почти три месяца. Злоумышленники установили сниффер в нераспределенной части сервера Heartland и на несколько месяцев ускользнули от судебных следователей. До взлома Heartland шесть раз подтверждала соответствие требованиям, в том числе в апреле 2008 года. Нарушение началось в следующем месяце, но не было обнаружено до января 2009 года. Однако это стоило компании более 130 миллионов долларов в виде штрафов, судебных издержек и других расходов. компания возместила часть этого за счет страхования.
4. RBS WorldPay - 1,5 миллиона карт. Взлом RBS не имеет значения для количества затронутых карт - хакеры использовали только небольшое количество карт в своем распоряжении для своего ограбления - но для суммы денег, которую они украли с помощью карт. Это не было традиционным взломом розничного торговца или карточного процесса. RBS WorldPay является подразделением по обработке платежей Королевского банка Шотландии и предоставляет ряд услуг по обработке электронных платежей, включая электронные платежи по переводу пособий и предоплаченные карты, такие как платежные карты, которые некоторые работодатели предлагают в качестве безбумажной альтернативы зарплатным чекам. В ноябре 2008 года было обнаружено, что злоумышленники получили доступ к реквизитам счетов для 100 зарплатных карт и увеличили баланс взломанных карт, а также их дневные лимиты на снятие средств. В некоторых случаях они подняли лимит на снятие средств до 500000 долларов. Они разослали реквизиты карты армии кассиров, которые вложили данные в пустые карты. В ходе глобального скоординированного ограбления банкоматы обналичили более 2000 банкоматов с мошенническими картами, заработав около 9,5 миллионов долларов менее чем за 12 часов.
5. Barnes and Noble. Это нарушение вошло в список первой крупной операции, связанной с терминалами в точках продаж, хотя спустя более года после взлома Barnes and Noble до сих пор не предоставили никаких подробностей о нарушении или количестве карты затронуты . Все, что известно, - это то, что ФБР начало расследование инцидента в сентябре 2012 года. Программное обеспечение для скимминга было обнаружено на торговых точках в 63 магазинах Barnes и Noble в девяти штатах, хотя затронуто было только одно POS-устройство в каждом магазине. Неизвестно, как флотатор был размещен на устройствах.
Ограбление Barnes and Noble напоминало канадскую операцию, которая произошла несколькими месяцами ранее и включала взлом POS-терминалов с целью украсть более 7 миллионов долларов.. Полиция сообщила, что группа, базирующаяся в Монреале, действовала скоординированно с военной точностью, раздавая клонированные карты бегунам в сейфах. Одна часть банды отвечала за установку скимминговых устройств на банкоматах и за изъятие торговых точек (POS) в ресторанах и розничных магазинах, чтобы установить на них анализаторы, прежде чем возвращать их предприятиям. Полиция сообщила, что похитители доставили POS-терминалы в автомобили, фургоны и гостиничные номера, где техники взломали процессоры и сфальсифицировали их так, чтобы данные карты могли быть удалены с них удаленно с помощью Bluetooth. На внесение изменений потребовалось всего около часа, после чего устройства были возвращены предприятиям, а на следующий день снова открыты. Предполагается, что кольцо получило внутреннюю помощь от сотрудников, которые брали взятки, чтобы отвернуться.
6. Неизвестный обработчик карт в Индии и США. В ходе ограбления, которое было похоже на взлом RBS WorldPay, хакеры взломали неназванные компании по обработке карт в Индии и США, которые работали со счетами предоплаченных карт. Они увеличили лимиты на счетах и передали реквизиты кассирам, которые сняли более 45 миллионов долларов в банкоматах по всему миру.
7. Ресторан и ночной клуб Cisero's. Неизвестно, действительно ли была взломаны карты Cisero или, если это было так, сколько карт было украдено. Но не поэтому Сизеро попал в наш список. Небольшой семейный ресторан в Парк-Сити, штат Юта, попал в список, потому что он взял на себя битву Давида и Голиафа против индустрии карточных платежей за несправедливые штрафы за нарушение, которое так и не было доказано. В марте 2008 года Visa уведомила банк США о том, что сеть Cisero могла быть взломана после того, как карты, использованные в ресторане, использовались для мошеннических транзакций в другом месте. Банк США и его филиал Elavon обрабатывали транзакции по банковским картам для Cisero's. Ресторан нанял две фирмы для проведения судебно-медицинской экспертизы, но ни одна из них не обнаружила никаких доказательств того, что произошло нарушение или что данные платежных карт любого вида были украдены. Однако аудиты обнаружил, что в торговой системе ресторана хранятся незашифрованные номера счетов клиентов, что противоречит стандарту PCI. Visa и MasterCard наложили штрафы на US Bank и Elavon в размере около 99 000 долларов, поскольку в соответствии с системой PCI штрафуются банки и операторы карт, обрабатывающие транзакции для продавцов, а не сами торговцы и розничные торговцы. Затем US Bank и Elavon арестовали около 10 000 долларов США с банковского счета ресторана в банке США, прежде чем владельцы ресторана закрыли счет и подали в суд.
8. Global Payments Inc - 1,5 миллиона. Эта платежная система из Атланты заявила, что ее взломали где-то в январе или феврале 2012 года. Но в апреле 2012 года Visa предупредила эмитентов, что нарушение, вероятно, датируется 2011 годом и могло повлиять на транзакции, начиная с 7 июня 2011 года. Мало что известно о нарушении. Во время телефонной конференции с инвесторами в апреле 2012 года генеральный директор Пол Р. Гарсия сообщил слушателям, что нарушение было ограничено «горсткой серверов» в его североамериканской процессинговой системе и что никаких мошеннических действий ни на одной из карт не наблюдалось. В отличие от большинства нарушений, которые обнаруживаются только через несколько месяцев после вторжения и, как правило, только после того, как Visa, MasterCard и другие участники карточной индустрии замечают схему мошеннической деятельности на счетах, Гарсия утверждал, что его компания обнаружила нарушение самостоятельно. «У нас были меры безопасности, которые его поймали», - сказал он. Однако он признал, что что, хотя программное обеспечение компании по предотвращению потерь обнаружило данные, которые были украдены с серверов компании, оно не предотвратило их утечку. «Отчасти это сработало, а отчасти - нет», - сказал он инвесторам. Он сказал, что компания будет инвестировать в дополнительную безопасность. Нарушение обошлось компании примерно в 94 миллиона долларов; 36 миллионов долларов из этой суммы было потрачено на штрафы и убытки от мошенничества, а около 60 миллионов долларов - на расследование и устранение последствий.
По материалам wired.com
