Januárban mi is beszámoltunk arról a nagy port felvert ügyről, hogy az Egyesült Államok egyik legnagyobb ilyen vállalata, a Heartland Payment Systems hitelkártyacég bejelentette: a Visa és a MasterCard figyelmeztetése után rosszindulatú szoftvert fedeztek fel rendszerükben, mely kérdésessé tette, hogy biztonságosan zajlanak-e a tranzakciók.
A hét hónapig tartó vizsgálat lezárult, s az illetékesek tegnap közölték, hogy az adatlopásért a 28 éves, miami illetőségű, informatikus végzettségű, már korábban is a rendőrség látókörébe került Albert Gonzalez, illetve két meg nem nevezett, feltehetően orosz származású tettestárs a felelősek, emellett egy negyedik személy is érintett, akit csak P. T. monogrammal említenek. A bejelentés szerint azonban nemcsak a tetteseket találták meg, hanem a nyomozás során az is kiderült, hogy a Heartland mellett más cégek is áldozatul estek, többek között a 7-Eleven és a Hannaford Brothers Co.
Az amerikai Igazságügyi Minisztérium közleménye szerint a csoport tagjai betörtek a vállalatok, intézetek számítógépeibe, s malware-ek segítségével adatokat szereztek meg törvénytelenül: kártékony programjuk kifejlesztésekor körülbelül 20 vírusvédelmi rendszeren tesztelték a szoftvert, hogy biztosan megfeleljen céljának. A támadásokat alaposan megtervezték, szervezetten hajtották végre, de alapvetően nem alkalmaztak különleges technikákat, a védelmi rendszerek „átlagos” hibáit, réseit használták ki – nyilatkozta Rohit Dhamankar, a DVLabs igazgatója az ügy kapcsán, aki hozzátette azt is, hogy ez az eset rávilágít arra, hogy milyen komoly veszélyt hordoz az, ha a biztonsági protokollok alapszintű hiányosságokat tartalmaznak, hiszen nem kell zseninek lenni ahhoz, hogy valaki nagy kárt okozhasson.
Gonzalez és társai több mint két évig tevékenykedtek észrevétlenül, mivel a vádirat szerint 2006 októberében kezdték gyűjteni a megtámadott pénzintézetek, cégek számítógépeiről a hitel-, illetve bankkártyaadatokat. Szervereiket Lettországban, Hollandiában, az Egyesült Államokban és Ukrajnában működtették. Kémprogramjaik segítségével figyelték a tranzakciókat, innen szerezték az adatokat, s az akciók közben azonnali üzenetküldő szolgáltatásokon keresztül tartották a kapcsolatot. Felfedezésükig több mint 130 millió kártya adatait szerezték meg, s ezeket a feketepiacon kívánták értékesíteni: a hitelkerettől függően 10-100 dollárért adtak el egy-egy hamis vásárlásra lehetőséget adó számlát.
Az ügy kapcsán szinte minden érintett vállalkozásnál kiderült, hogy nem tartották be vagy nem alkalmazták megfelelően az elektronikus kereskedelem, a bankkártyhasználat biztonsági szabványait tartalmazó PCI DSS előírásait.
Gonzalezt más adatlopási ügyekkel is vádolják, s ha bűnösnek találják, 25 év börtön, illetve 500 ezer dollár megfizetése várhat rá.
