Kereső toggle

Ki védi meg a bank-kártyákat?

Továbbítás emailben
Cikk nyomtatása

A 2014-es év adatbiztonság szempontjából kifejezetten eseménydúsan telt, ugyanis világszerte több támadás érte a különféle szenzitív pénzügyi információkat. Az esetleges mulasztások tétje pedig évről évre növekszik, ahogy a készpénz helyét folyamatosan átveszik a különböző elektronikus helyettesítő eszközök.

Úgy tűnik, hogy amivel régen még csak a mozivásznon lehetett találkozni, azzal manapság egyre szélesebb tömegek kényszerülnek szembesülni a való életben. Kereskedelmi láncok, bankok, elektronikai termékek gyártói sorra esnek adatlopások áldozataiul. És egyelőre inkább a hackereknek kedvez a széljárás. A hackerek különösen kedvelt célpontjai – mind közül – a bankkártya adatok. Idén például a Home Depot sokkolta a vásárlóit, amikor szeptemberben bejelentette, hogy 56 millió bankkártya adatát lopták el rendszerükből. Emellett a Target kereskedelmi áruház (a 2013-as értékesítési volumenek alapján közel 16 billiárd (!) forintnak megfelelő bevétellel az egyik legnagyobb az amerikai piacon) tavaly decemberi bejelentése miatt, miszerint rendszerükből 70 millió kártyának az adatai kerültek illetéktelen kezekbe, ismét reflektorfénybe kerültek az adattárolással kapcsolatos biztonsági kérdések. Különösen annak fényében érdekesek ezek az események, hogy az esetek túlnyomó többségében az érintett vállalatok betartották az adatok kezelésére vonatkozó szigorú szabályokat. A Target esetében például az 1,6 millió dollár értékű biztonsági rendszer (amely rendszer gyártójának a termékeit a CIA és a Pentagon is használja) már telepítve volt, amikor a támadás megtörtént, és rögtön le is adott egy figyelmeztető jelzést. Érthetetlen módon azonban a cég IT-biztonsági csapata mégsem tett lépéseket annak érdekében, hogy megakadályozza a támadást. A Wired magazin az év végéhez közeledve összegyűjtötte az elmúlt néhány év legjelentősebb adatlopásainak toplistáját, amelyekre a fentebb említett esetek még csak nem is tudtak felkerülni, mivel a két cég viszonylag gyors reagálásának köszönhetően nem érte jelentős anyagi kár az érintett kártyatulajdonosokat.

Nem így történt azonban a Wired listáján hetedik helyen szereplő Royal Bank of Scotland WorldPay nevű fizetési rendszerével. Bár a bűncselekmény során „csak” 1,5 millió kártya volt érintett, mégis jelentős károk keletkeztek. A kártyák adatainak megszerzése után az elkövetők megemelték a hozzájuk tartozó számlák pénzfelvételi limitjét, majd saját kártyákat gyártottak, amelyeket elláttak a megszerzett információkkal. Ezeket a kártyákat felhasználva pedig közel 2000 ATM igénybevételével 9,5 millió dollárhoz jutottak a bűnözők.

A TJX áruházlánc esetében egészen akciófilmbe illő volt a támadás kivitelezése. Albert Gonzalez, a hírhedt hacker, csapatával (köztük két orosz hackerrel) együtt a szóban forgó vállalat épülete közelében antennával és laptopokkal felszerelkezve furgonokba fészkelte be magát, és onnan törték fel a vállalat belső wireless (vezeték nélküli) hálózatát. Amint sikerült bejutniuk a céges hálózatba, attól kezdve már szinte akadály nélkül haladhattak előre, ugyanis kiderült, hogy a cégen belüli adattárolás és adatmozgatás mindenféle titkosítási eljárás nélkül történt. Bár a támadásra 2005 júliusában került sor,  egészen 2006 decemberéig mégsem vette észre senki, hogy valami nem stimmel. Ez a támadás végül a vállalatnak összesen 256 millió dollárjába került.

A Fortune 500-as listán megtalálható, hagyományosan könyvkereskedelemmel foglalkozó Barnes & Noble-nek is sikerült beleszaladnia egy adatlopásba, s ezzel fel is került erre a sokkal kevésbé kívánatos listának a 6. helyére. Az adatlopás itt nem a vállalat belső hálózatának a meghackelésével ment végbe, hanem az üzletekben található POS (point of sales) terminálokat módosították úgy az elkövetők, hogy azok használatakor meg tudták kaparintani a bankkártyaadatokat. A támadással kapcsolatosan a vállalat nem tett közre semmilyen adatot, így nem tudni, hogy pontosan mennyi kártyaadat került illetéktelen kezekbe. De tekintettel arra, hogy 63 kifejezetten nagy forgalmú üzletükben találtak ilyen módosított POS-terminált, mindenképpen jelentős károkra lehet számítani.

Ezek után jogosan merül fel a kérdés, hogy vajon mennyire megbízhatóak az ezeknek az adatoknak a biztonságát garantáló rendszerek? A közelmúlt eseményei között nem egy olyat találunk, ahol az előírások nem lettek megfelelően implementálva a gyakorlatban, és végül ez okozta a problémát. Ezen igyekeznek segíteni a szabályozók az egyre szigorúbb sztenderdekkel és egyre mélyebbre ható auditokkal – több-kevesebb sikerrel. Ugyanakkor a Target példája azt mutatja, hogy ha van is egy jól működő rendszer, amely az érkező támadásokat azonosítani tudja, és erről jelzést is ad, még mindig ott marad a bizonytalan emberi tényező mint támadási felület.

 

Olvasson tovább: