缺乏围绕该Heartland支付系统公司本周披露的潜在的巨大的数据泄露细节助长了有关安全损害的确切性质的支付处理行业内的问题和疑虑。
围绕着潜在的巨大的缺乏细节数据泄露这Heartland支付系统公司本周披露助长了有关安全损害的确切性质的支付处理行业内的问题和疑虑。
另一个令人担忧的事实是,总部位于新泽西州普林斯顿的Heartland是美国最大的信用卡和借记卡交易处理公司之一。该公司每月为25万名客户处理超过1亿笔信用卡交易。如此大的公司能有这样的系统被入侵者这似乎已经持续了很长一段时间,这引发了人们对入侵如何发生的好奇,而不是通常的好奇。
此外,中心区域,如卡交易的大型处理器,已经被要求是符合的支付卡行业数据安全标准- 一组由主要的信用卡公司规定的安全控制 - 比零售商已经有相当长的时间。其结果是,中心区域普遍预期具有到位用于预防,检测和响应系统入侵比由PCI规则做覆盖许多其他实体更强的控制。
“我们真想在这一个信息,说亨利Helgeson,总裁兼商人仓库公司,总部位于波士顿的的支付卡处理服务和软件提供商的联合首席执行官。”大家谁处理卡的信息非常想知道如何正是这种事。”
Helgeson补充说,目前,他和其他商业仓库的管理人员对于哈特兰的入侵感到“挠头”。他说:“我们现在感到沮丧的是,如果这是一次新的袭击,我们需要知道它。”“我们需要知道,发生在Heartland公司的事情,是否也会发生在(其他支付公司)身上。”
哈特兰德披露违反周二,说不明入侵者闯进了网络的某个时候,去年被盗的支付卡交易数据。虽然华伦并未透露可能已经失密卡账户的数量,分析师和人们支付行业内的一些外界估计已经挂在超过100万人次,这将是迄今为止最大的支付卡突破口日期使它- 超越4560万个卡号该TJX公司称该零售商在2007年1月披露违反被盗。
从华伦迄今公布,黑客会出现少量的信息已种植某种恶意软件能够嗅出支付卡数据的,因为它在整个公司网络的移动,然后在加密已经意气风发出来中心地带的系统数据流。
该中心区域没有检测到的恶意活动,直到通过Visa公司和被警告它的事实万事达卡国际组织。表明公司没有实现,或者没有使用,全部由PCI标准要求的安全控制,分析师说。
例如,Heartland对其网络上的恶意软件的无知表明它并没有在常规基础上进行文件完整性监控,Gartner Inc .。分析师Avivah Litan说。这是一种PCI要求,旨在使公司能够检测服务器上文件和目录中的未授权内容,以及权限特权的更改或添加。
马萨诸塞州安全风险管理工具供应商eIQnetworks Inc.负责策略的副总裁迈克•罗斯曼(Mike Rothman)说,与此类似,Heartland似乎也没有监控或过滤从其网络流出的流量。Rothman说,它似乎也没有分析从防火墙、入侵防御系统和其他安全设备收集的日志数据。
“如果你做某种事情数据泄漏的预防分析类型,你就可以说,“为什么是我的内部支付网络外网发送数据的服务器?””罗斯曼说,‘即使数据是加密的,你应该看到的交通流量。’
哈特兰公司的一位发言人今天说,该公司已经知道了被散布的数字,但自己仍然不知道入侵的范围。这位发言人说,入侵者偷走了存储在卡背面磁条上的所谓的1轨和2轨数据。但是,他补充说,未加密的PIN码、银行卡验证码、社保号、持卡人的地址和邮政编码等数据没有被泄露。
据该发言人说,去年年底,Heartland收到了Visa和万事达的警告,称其处理的交易涉及可疑活动。但是直到上周才发现系统被入侵,尽管已经雇佣了两家取证公司来调查情况。他说,黑客植入的恶意软件是“极其复杂的代码”,几个月来,法医分析人员一直没有发现这些代码。
华伦仍然不知道该代码有多久了它的网络上,该发言人表示。“我们所知道的是,它目睹了发生在2008年下半年的一段时间,”他说。
该发言人还表示,中心区域已经被认证为符合PCI-去年四月。然而,在FAQ文档张贴在公司的违约信息网站,华伦说没有阐述该发现恶意软件后,它“立即采取了一系列措施,以进一步巩固其系统。”该公司还表示,它计划“实施旨在旗网络异常实时的下一代计划,使执法尽快缉拿犯罪分子。”
维萨和万事达也尚未透露有关此次攻击的范围或性质的任何具体信息。例如,万事达在一份声明中表示,目前“谈论任何数字或指标都为时过早”,因为对此次入侵的调查仍在进行中。
如果妥协是大如被提出的损害卡,数量之多将使它极不可能的,银行将取消并重新发出所有的人,Helgeson说。这样做,可能会在$ 600百万到$ 1十亿范围内的总成本,他估计。这样的量,他补充说,将远远超过任何信用卡诈骗很可能从妥协的结果。
在外面的规模债务人违反了估计也可能会从立法者,监管和法律界,分析师预测引起注意。
目前,一个律师事务所,Chimicles&Tikellis LLP在哈弗福德,宾夕法尼亚州,曾表示,它正在探索对华伦一个集体诉讼的可能性。这家公司,其中有对纽约梅隆银行公司正在进行的诉讼与连接去年5月披露了一起违规事件,正在考虑是否华伦在其职责来保护数据,以及是否有可能已经违反默示合同结果的疏忽,约瑟夫·索德,在Chimicles&Tikellis律师说。
此外,费城律师事务所Fox Rothschild LLP的合伙人弗尼克(Scott Vernick)说,如果发现Heartland没有符合PCI的要求,该公司可能会面临信用卡公司的高额罚款。Vernick补充说,由于信用卡违约而被迫重新发行信用卡的银行将向Heartland寻求补偿。他说,监管机构可能会想知道该公司在遭到入侵时是否遵循了IT安全方面的行业最佳做法。
Vernick说,当Heartland第一次得知入侵的消息,以及该公司何时公开披露系统入侵的问题,在未来也将具有重要意义。
这次泄密也肯定会增加人们对此事越来越多的质疑PCI规则的有效性。至少,在哈特兰发生的事情将给信用卡公司带来压力,迫使它们比目前更严格、更明显地执行这些要求。
不过,采取严厉措施是有先例的。当CardSystems解决方案公司。,则主要支付处理器,由数据破坏袭击受损约4000万张支付卡在2005年,就在第一个版本的PCI标准公布后的几个月,Visa和美国运通有限公司终于停止做生意与该公司。
“这将是有趣的,看看有什么卡公司做”,在中心区域的情况下,Helgeson说。
这个故事,“数据泄露火花在支付行业的安全问题”最初发表计算机世界 。