Legalább 45,7 millió bank-, illetve hitelkártya számát szerezték meg az Egyesült Államokban és Nagy-Britanniában azok a tolvajok, akik a massachusettsi székhelyű TJX diszkontlánc informatikai rendszerére kapcsolódtak rá éveken keresztül, s ezzel az eddigi legnagyobb ilyen jellegű bűncselekményt követték el.

Az ügy nem új keletű, a TJX vásárlóit az elmúlt két hónapban már többször is figyelmeztették, ám csak most kapott nagyobb nyilvánosságot az eset, mikorra már legalább annyi világos, hogy mekkora nagyságrendű adatmennyiség illegális megszerzéséről van szó.

A vizsgálat részleteiről még kevés információt lehet tudni, s azok is ellentmondásosak. „Nem világos, hogy mikor töröltek információkat, nem világos, hogy ki mikor férhetett hozzá adatokhoz, nem világos, hogy az ellopott adatok mekkora része volt titkosítva, s azt végképp nem tudni, mekkora adatmennyiségről van szó” – nyilatkozta Deepak Taneja biztonsági szakértő. A lopást tavaly december 18-án fedezték fel, s akkor indították meg a vizsgálatot, mely szerint az első támadás 2005 júliusában történt (más információk szerint 2003 januárjában), majd ezek után rendszeresen megcsapolták az adatbázisokat. A TJX vezetése annyit mondott el, hogy egy ismeretlen szoftvert fedeztek fel a rendszerükben, mely körülbelül száz olyan fájlt juttatott ki, amelyek tranzakciók millióinak adatait tartalmazták – a feltételezések szerint a tolvajok esetleg megszerezhették a titkosítások feloldásához szükséges információkat is.

Avivah Litan, a Gartner technológiai tanácsadója szerint ez a legnagyobb ilyen jellegű lopás a bankkártyák történetében. Sherry Lang, a TJX szóvivője igyekezett megnyugtatni ügyfeleiket, s elmondta, hogy a szóban forgó kártyák 75 százalékát már visszavonták az adatok kiszivárgása idején, illetve a megszerzett fájlok nagy része nem tartalmazott olyan információkat, melyekkel közvetlenül vissza lehetett volna élni – a cég állítása szerint például a PIN-kódokat egy másik rendszerben tárolják, s a kártyák mágnescsíkjai biztonsági okokból csak részadatokat tartalmaznak. Az igazi veszélyt nem is ebben látják, hanem a módszerben, amellyel a crackerek behatoltak rendszerükbe, hiszen nagyobb károkat is okozhattak volna, illetve ezzel a hosszú ideig felfedezetlen eljárással más kereskedelmi és pénzintézetek rendszereibe is behatolhattak.

A vizsgálatba az Egyesült Államok összes bűnüldöző és nyomozó szervezete – az FBI-tól kezdve a titkosszolgálatokig – bekapcsolódott, s az elmúlt héten már letartóztattak egy olyan csoportot, akik a TJX-től megszerzett adatok felhasználásával vásároltak körülbelül 500 ezer (más adatok szerint egymillió) dollár értékben elektronikai cikkeket és ékszereket. A nyomozók szerint nem ők a crackerek, de nyilvánvalóan rajtuk keresztül juthattak a gyanúsítottak az adatokhoz.