Włamanie do systemów informatycznych amerykańskiej sieci sklepów Target w 2013 r. zaowocowało wyciekiem danych 40 milionów kart płatniczych. Wygląda na to, że jesteśmy w przededniu podobnej afery, której skala może przyćmić poprzedni wypadek.
Niechlubny rekord pod względem zakresu ujawnionych danych należy do agenta rozliczeniowego Heartland. W 2009 roku z jego baz danych hakerzy zdołali wyprowadzić 130 milionów numerów kart płatniczych. Niewykluczone, że wynik ten może zostać pobity przez incydent, który miał prawdopodobnie miejsce w sieci amerykańskich marketów budowlanych Home Depot.
Odwet za sankcje?
Jak ujawnił serwis „Krebs on Security”, w internetowym sklepie dla kartowego półświatka Rescator.la pojawiła się w tym tygodniu świeża porcja „towaru”. Są nim dane kart płatniczych posegregowane w dwie paczki nazwane „European Sanctions” (ang. sankcje europejskie) i „American Sanctions” (ang. sankcje amerykańskie). Prowadzący nielegalny biznes (założony rzekomo przez młodego mieszkańca Odessy) nawiązali w ten sposób nazewnictwem do sankcji skierowanych przeciwko Rosji. Nie wiadomo jednak, czy za samym włamaniem stoją rosyjskie grupy przestępcze.
Analiza przeprowadzona przez Briana Krebsa, cenionego specjalistę od bezpieczeństwa informatycznego, dowodzi, że źródłem wycieku danych są prawdopodobnie sklepy sieci Home Depot. Oszuści sprzedający numery kart płatniczych podają kody pocztowe miejsc, w których pozyskano dane. Pozwala to nabywcom skradzionych obrazów pasków magnetycznych kart dokonywać sklonowanym plastikiem zakupów w tym samym regionie, co z kolei umożliwia oszukanie bankowych systemów antyfraudowych.
Kody pocztowe przypisane do próbki wystawionych na sprzedaż kart w 99 proc. pokrywają się z lokalizacjami sklepów Home Depot. Detalista nie potwierdził jeszcze oficjalnie, że padł ofiarą włamania, ale można spodziewać się, że rewelacja znajdzie potwierdzenie w najbliższych dniach.
Kilka miesięcy hakerskich żniw
Zdaniem banków współpracujących z Brianem Krebsem, wyciek mógł mieć miejsce na przełomie kwietnia i maja. Jeśli sieć Home Depot nie była do tej pory świadoma niebezpieczeństwa, to oznacza to, że włamywacze swobodnie zbierali dane przez kilka miesięcy.
Może to zaowocować jednym z największych wycieków informacji w historii płatności kartowych. W zeszłorocznym incydencie w sieci Target, który dotknął ok. 1800 sklepów, czas „hakerskich żniw” wynosił tylko trzy tygodnie. W tym okresie przestępcy zdobyli 40 mln numerów kart. Home Depot prowadzi 2200 placówek handlowych.
Wina przestarzałych technologii
Podczas gdy w Europie obowiązującym standardem działania kart płatniczych jest już technologia mikroprocesorowa EMV, w USA nadal dominują karty posiadające wyłącznie pasek magnetyczny. Ułatwia to zadanie przestępcom, którzy po zdobyciu danych przepływających przez systemy detalistów mogą tworzyć wierne kopie plastików i dokonywać nimi zakupów w fizycznych sklepach lub internecie. Stany Zjednoczone są obecnie jednym z głównych rynków, na którym wykorzystuje się skradzione w różnych częściach świata (w tym w Polsce) dane kart.
Michał Kisiel
Wojciech Boczoń
