В пятницу компания MasterCard International сообщила о том, что, вероятно, произошла кража более чем 40 млн номеров кредитных карт — едва ли не крупнейший в истории инцидент нарушения компьютерной безопасности.

В заявлении компании говорится, что около 13,9 млн поставленных под удар счетов относятся к картам MasterCard. Кроме них, пострадали примерно 20 млн карт Visa и карты других сетей, включая American Express и Discover. MasterCard и Visa предупредили о подвергающихся риску счетах входящие в их сети банки, так что те могут принять меры для защиты владельцев карт.

...продолжение читаем в "подробнее"

:
...
«Чисто количественно это, вероятно, один из крупнейших взломов сети», — прокомментировал главный аналитик Javelin Strategy & Research Ван Дайк.

Согласно заявлению MasterCard, инцидент произошел в компании CardSystems Solutions (Туксон, штат Аризона), которая занимается обработкой платежных данных. Злоумышленнику удалось воспользоваться уязвимостями в нефильтруемой сети CardSystems и получить доступ к данным о владельцах карт.

CardSystems — одна из нескольких независимых компаний, которые обрабатывают транзакции для банков и торговых организаций. Брешь в защите ее сети была обнаружена с использованием инструментов, предназначенных для проверки подлинности кредитных карт. Украдены только номера кредитных карт; MasterCard утверждает, что на картах не содержится номеров социальной защиты или дат рождения клиентов. Полученная злоумышленниками информация может использоваться для мошенничества с кредитными картами, но не для подмены личности.

Visa распространила заявление, в котором утверждается, что компании известно об инциденте и она ведет работу с правоохранительными органами и банками по контролю и предотвращению мошенничества. MasterCard, Discover, Visa уверяют, что пользователям карт не придется отвечать за незаконные операции с их картами, если таковые будут иметь место.

Инцидент, предположительно, произошел в прошлом месяце. В распространенном в пятницу заявлении CardSystems говорится, что в компании заподозрили взлом в воскресенье 22 мая и на следующий день позвонили в ФБР, а также оповестили Visa и MasterCard. После этого CardSystems провела проверку систем защиты и по результатам этой проверки изменила некоторые процедуры.

Волна утечек
Этому взлому предшествовало несколько других серьезных инцидентов, подвергающих американских потребителей опасности подмены личности. На прошлой неделе компания CitiFinancial сообщила, что службой United Parcel Service при передаче в кредитное бюро были потеряны ленты с незашифрованной информацией о 3,9 млн заказчиков. CitiFinancial — это дочерняя компания Citigroup, специализирующаяся на потребительских финансовых операциях.

За последние месяцы об утечках данных сообщили Bank of America и банк Wachovia, компании по обработке данных ChoicePoint и LexisNexis, а также Калифорнийский университет в Беркли и Стэнфордский университет.

Два недавних опроса выявили растущее беспокойство людей по поводу защиты данных. В среду организация Cyber Security Industry Alliance сообщила, что 97% из опрошенных американских избирателей сказали, что подмена личности — проблема, требующая решения, а 64% хотят, чтобы правительство делало больше для повышения компьютерной безопасности. Исследование, проведенное по заказу Adobe Systems и RSA Security, обнаружило также, что в Вашингтоне восемь из десяти «профессионалов высокого уровня» считают, что законодатели недостаточно делают для того, чтобы обезопасить данные потребителей.

В США владельцы карт MasterCard защищены от несанкционированных операций по их счетам, утверждает компания. Если владелец карты подозревает, что его картой пользуются мошенники, он может заявить об этом в свой банк. Ван Дайк из Javelin Strategy & Research советует владельцам карт следить за своими счетами в онлайне. «В случае подмены личности первыми, скорее всего, об этом узнают сами владельцы карт», — говорит он.

CardSystems уже приняла меры для повышения безопасности своей системы. И все же MasterCard установила для обработчика данных неразглашаемый срок, к которому тот должен продемонстрировать полную безопасность своей системы.