Ki védi meg a bank-kártyákat?

Úgy tűnik, hogy amivel régen még csak a mozivásznon lehetett találkozni, azzal manapság egyre szélesebb tömegek kényszerülnek szembesülni a való életben. Kereskedelmi láncok, bankok, elektronikai termékek gyártói sorra esnek adatlopások áldozataiul. És egyelőre inkább a hackereknek kedvez a széljárás. A hackerek különösen kedvelt célpontjai – mind közül – a bankkártya adatok. Idén például a Home Depot sokkolta a vásárlóit, amikor szeptemberben bejelentette, hogy 56 millió bankkártya adatát lopták el rendszerükből. Emellett a Target kereskedelmi áruház (a 2013-as értékesítési volumenek alapján közel 16 billiárd (!) forintnak megfelelő bevétellel az egyik legnagyobb az amerikai piacon) tavaly decemberi bejelentése miatt, miszerint rendszerükből 70 millió kártyának az adatai kerültek illetéktelen kezekbe, ismét reflektorfénybe kerültek az adattárolással kapcsolatos biztonsági kérdések. Különösen annak fényében érdekesek ezek az események, hogy az esetek túlnyomó többségében az érintett vállalatok betartották az adatok kezelésére vonatkozó szigorú szabályokat. A Target esetében például az 1,6 millió dollár értékű biztonsági rendszer (amely rendszer gyártójának a termékeit a CIA és a Pentagon is használja) már telepítve volt, amikor a támadás megtörtént, és rögtön le is adott egy figyelmeztető jelzést. Érthetetlen módon azonban a cég IT-biztonsági csapata mégsem tett lépéseket annak érdekében, hogy megakadályozza a támadást. A Wired magazin az év végéhez közeledve összegyűjtötte az elmúlt néhány év legjelentősebb adatlopásainak toplistáját, amelyekre a fentebb említett esetek még csak nem is tudtak felkerülni, mivel a két cég viszonylag gyors reagálásának köszönhetően nem érte jelentős anyagi kár az érintett kártyatulajdonosokat.

Nem így történt azonban a Wired listáján hetedik helyen szereplő Royal Bank of Scotland WorldPay nevű fizetési rendszerével. Bár a bűncselekmény során „csak” 1,5 millió kártya volt érintett, mégis jelentős károk keletkeztek. A kártyák adatainak megszerzése után az elkövetők megemelték a hozzájuk tartozó számlák pénzfelvételi limitjét, majd saját kártyákat gyártottak, amelyeket elláttak a megszerzett információkkal. Ezeket a kártyákat felhasználva pedig közel 2000 ATM igénybevételével 9,5 millió dollárhoz jutottak a bűnözők.

A TJX áruházlánc esetében egészen akciófilmbe illő volt a támadás kivitelezése. Albert Gonzalez, a hírhedt hacker, csapatával (köztük két orosz hackerrel) együtt a szóban forgó vállalat épülete közelében antennával és laptopokkal felszerelkezve furgonokba fészkelte be magát, és onnan törték fel a vállalat belső wireless (vezeték nélküli) hálózatát. Amint sikerült bejutniuk a céges hálózatba, attól kezdve már szinte akadály nélkül haladhattak előre, ugyanis kiderült, hogy a cégen belüli adattárolás és adatmozgatás mindenféle titkosítási eljárás nélkül történt. Bár a támadásra 2005 júliusában került sor, egészen 2006 decemberéig mégsem vette észre senki, hogy valami nem stimmel. Ez a támadás végül a vállalatnak összesen 256 millió dollárjába került.