Mi történt valójában a CardSystems szerverén?

Az online kereskedelem történetének eddigi legsúlyosabb biztonsági incidensére derült fény az elmúlt napokban. Mint ismeretes, egy bankkártya-tranzakciókat feldolgozó cég, a CardSystems arizonai szerverét támadták meg ismeretlen tettesek, ahol több mint 40 millió bankkártya-tulajdonos adatait tárolták – mint utóbb kiderült, szabálytalanul. Az illetéktelen behatolást még május 22-én fedezték fel, de az ügyben érintett két fő kártyakibocsátó, a Visa és a MasterCard csak a vizsgálatok első körének lezárulta után, múlt pénteken jelentette be az esetet.

Hazai források összesen 68 ezer számlaadat kiszivárgásáról számolnak be, azonban ez nem pontos, mivel ez a szám csupán a MasterCard ügyfeleit jelenti. A feltört CardSystem ügyvezetője, John Perry összesen kétszázezerre becsülte az ellopott bankártya-adatokat, amelynek a nagyobbik része Visa-kártyákhoz tartozott. A Visa illetékese még pesszimistább, a cég biztonsági szakértői szerint csak Európában akár 800 ezer kártyát is érinthet a támadás.

Nem maradtunk ki belőle

Tegnap biztossá vált, hogy az ügy magyarországi kártyatulajdonosokat is érint, noha a délelőtt folyamán Dunavölgyi Mária, a MasterCard Europe régiónkért felelős igazgatója még arról tájékoztatta az MTI-t, hogy nem kaptak értesítést az anyacégtől magyar érintettségről. Délutánra azonban kiderült, több száz magyar kártyatulajdonos adatát szerezték meg a hackerek. Az eddigi hírek szerint kárt egyiküknek sem okoztak, és az összes érintett pénzintézet azonnal intézkedett a bankkártyák díjmentes cseréjéről, amelyről már értesíteni is tudták a számlatulajdonosok zömét.

Az eddigi adatok szerint az OTP ügyfelei közül érinti a legtöbbet az eset, körülbelül háromszáz bankkártya adatai kerültek illetéktelen kezekbe, ennek kétharmada MasterCard, a többi Visa. A Raiffeisen Bank néhány tucat érintett ügyfélről számolt be, a CIB szóvivője kevéssé konkrétan úgy nyilatkozott, két számjegyű a náluk vizsgált számlák száma. Az Inter-Európa Banknak négy ügyfelét érinti a biztonsági intézkedés, a K&H-nál szintén csak néhány kártyabirtokos került veszélybe. Az MTI információi szerint eddig a Budapest Banknál és az Erste Banknál derült ki megnyugtatóan, hogy ügyfeleik bankkártyaszámai nem voltak az ellopottak között. Az adatok ugyanakkor nem teljesek, mivel a legnagyobb magyarországi kártyakibocsátó Citibank még nem adott választ arra, hogy hány kártyatulajdonost érinthetett a támadás.

Mi történt valójában a CardSystemsnél?

Az első hírekből kiderült, hogy a számlainformációk az atlantai székhelyű CardSystems egyik arizonai szerveréből származnak. A kártyatranzakciókat feldolgozó cég itt tárolta a zömében Visa és MasterCard kártyákkal bonyolított online tranzakciók adatait – több mint 40 millió számlaadatot. Az online kereskedelemben bevett szokás, hogy amennyiben egy bank úgy dönt, hogy túl költséges lenne kiépíteni egy saját kártyaelfogadó rendszert, akkor ilyen tranzakciós cégekhez fordul. Amikor egy kereskedő lehúz egy bankkártyát, az információ ehhez a céghez fut be, majd innen továbbítják a bank felé. A CardSystems százezernél is több kis- és középvállalkozással áll kapcsolatban az Egyesült Államokban, a tavalyi évben 15 milliárd dollárnyi tranzakciót bonyolított le.

Mára bizonyossá vált, hogy az elkövetőknek sikerült a biztonsági réseket kihasználva egy rejtett programot telepíteniük a CardSystems szerverére, amely folyamatosan gyűjtötte nekik a bankkártya-adatokat – tehát a behatolás jóval a május 22-i felfedezés előtt történt. A kártékony program tevékenységére épp egy rendkívüli biztonsági átvilágítás során derült fény, amelyet a MasterCard megbízásából végzett el a Cybertrust biztonsági cég. A vizsgálatot azért kezdeményezte a kártyacég, mert több bank részéről is ugrásszerűen megemelkedett a visszautasított, illetve szabálytalan tranzakciók száma. A nyomok a CardSystemhez vezettek.

Az ellenőrzés során kiderült, hogy a cégnél nemcsak it-biztonsági szabályokat hagytak figyelmen kívül, aminek a következtében az illetéktelen behatolás megtörténhetett, hanem a MasterCard és a Visa által közösen lefektetett eljárási szabályokat is súlyosan megszegte a cég. A gyakorlat szerint ugyanis az online átutalás teljesülése után minden tranzakciós fél inkább szabadulni igyekszik az érzékeny számlaadatoktól, hiszen ezek egyfelől biztonsági kockázatot rejtenek magukban, másrészt szabálytalan is a tárolásuk. A CardSystems ezzel szemben a szerverén tárolta a tranzakciós adatokat, mint utóbb magyarázatul elmondták, „kutatási célokból”, hogy megtudják, miért hiúsul meg az online tranzakciók egy kis százaléka. „Ezt talán nem kellett volna” – ismerte el szűkszavúan John Perry, a cég ügyvezetője a The New York Times tegnapi számában.

A cikk még nem ért véget, kérlek, lapozz!