Pravdepodobne ste v posledných dňoch zachytili túto udalosť. Americký obchodný dom The Hannaford Bros. v pondelok ohlásil odcudzenie pravdepodobne 4.2 milióna platobných kariet zákazníkov. Odcudzené boli “len” čísla kariet a expiračná doba.

Toto nie je prvý prípad tak obrovského úniku citlivých informácií, minulý rok v marci obchodný dom TJX oznámil stratu viac ako 45 miliónov záznamov obsahujúcich citlivé informácie transakcií, vrátane čísiel platobných kariet a expiračnej doby. Je to však prvý prípad, kedy boli dodržané pravidlá PCI (Payment card industry) a aj napriek tomu boli citlivé dáta úspešne odcudzené.

PCI Security Standards International je súbor pravidiel zavedených spoločnosťami American Express, Discover Financial Services, JCB, MasterCard WorldWide a Visa Internetational. Tieto pravidlá sú aplikované pre ochranu citlivých informácií platobných kariet a spoločnostiam určujú, ako s nimi majú nakladať a ako ich uchovávať. V októbri minulého roku boli do PCI implementované pravidlá pre prácu s citlivými dátami PCI Data Security Standard (PCI DSS). Tieto pravidlá určujú, ako je možné nakladať a uchovávať citlivé dáta platobných kariet spoločnosťou, ktorá ich prijala. Podľa PCI DSS môže spoločnosť uchovávať čísla platobných kariet a expiračnú dobu na oddelenom serveri/och od hlavného systému. Práve ten sa stal pravdepodobným terčom útočníkov, ktorí z neho získali citlivé informácie. Taktiež je možné, že ako v prípade TJX, bol útok smerovaný na wireless komunikáciu medzi jednotlivými zariadeniami (čo je však veľmi nepravdepodobné kvôli krátkemu obdobiu (2 mesiace), za ktoré útočníci odcudzili obrovské množstvo citlivých informácií).

Banky, ktorých klienti už hlásia úspešné zneužitie ich identity sa pripravujú na podanie žaloby voči spoločnosti Hannaford Bros. Tá sa však bráni, že presne dodržiavala postupy a pravidlá, ktoré jej boli ukladané štandardmi PCI. Preto sa niekoľko odborníkov domnieva, že PCI budú v blízkej budúcnosti upravené.

Spoliehať sa na PCI štandardy môže byť veľmi zradné. Pred niekoľkými týždňami sme vás informovali o prípade prelomenia automatizovanej ochrany PCI od Hackers Safe. Cieľom útočníkov sa vtedy stal internetový obchod Geeks.com. Aj v tomto prípade sa precenila sila PCI štandardov, ktorá nezabránila úniku citlivých dát. Po čase sa potvrdili aj moje negatívne slová na “tričko” automatizovanej ochrany PCI, ktorá len ťahá peniaze z vreciek majiteľov webových stránok.

Mnoho neznalých médií a serverov sa vyjadrilo v zmysle, že únik nie je až tak zlý pre klientov, keďže neboli odcudzené ďalšie identifikačné údaje (meno, priezvisko, bydlisko, atď.). To je však veľmi mylná predstava. Odcudzené údaje sú v skutočnosti jediné potrebné pre odcudzenie prostriedkov z platobnej karty. Existuje niekoľko veľmi jednoduchých spôsobov, ako spojiť platobnú kartu s konkrétnou osobou majiteľa. Rovnako ochranné identifikátory, ako PIN alebo CVN (CVV2) sú v skutočnosti veľmi nedostatočné a nie je problém ich nahradiť/obísť. Odcudzené platobné karty by na čiernom trhu mohli dosiahnuť hodnoty až $2 milióny ako bulk (jeden balík).

Tento prípad jasne poukazuje na obrovské zraniteľnosti platobných kariet. Podobné systémy používajú obchodné domy a supermarkety aj u nás a je možno len otázka času, kým zažijeme aj my podobný útok na naše “peňaženky”.