PCI安全标准2005年开始实施,具体包括了安装防火墙和防病毒软件,更改默认口令,加密数据传输(在公共网络环境下)等。其目的在于保护持卡人 的数据,减少被盗的风险,或即使被盗后也难以被盗窃者使用。但在PCI实施后的这十年中,银行卡数据被盗的事件依然频频发生,令人无奈的是,许多当事公司 还通过了PCI安全标准的合规认证。
下面安全牛就和大家一起回顾,近十年来最大的10起银行卡数据泄露事件:
1. CardSystems Solutions-4000万
CardSystems Solutions是亚利桑那州一家已经消失的信用卡公司,并永远保留了其第一名的荣誉。该公司在2002年《加利福尼亚入侵告知法》通过后,成为首个被入侵的企业。《告知法》要求企业在用户的敏感信息被盗后,要告知用户。
入侵者在该公司的网络上放置了一个恶意脚本,用以嗅探银行卡的交易数据。最终窃取了约4000万银行卡信息,包括姓名、卡号和安全码。CardSystem 虽然在2004年6月就通过了PCI标准合规的认证,但它还是违规存储了交易完成后未经加密的交易数据。该起入侵事件发生于2005年5月。
2. TJX-9400万
TJX只是被阿尔伯特·冈萨雷斯和一个俄罗斯黑客团伙黑掉的众多零售商之一。他们在2007年使用战争拨号(war-dialing)的手法侵入了TJX的网 络,他们开车经过企业的办公室,车上装有天线的笔记本电脑运行一个特殊的程序,以扫描无线网络。然后通过无线网络,进入到TJX的银行卡数据传输网络。同 样,TJX的传输网络也没有加密。
最初的入侵在2005年7月,到直到2006年12月才发现这次入侵。之后这伙黑客又进行了第二次、第三次入侵……最终导致了该零售商2.56亿美元的损失。
3. 哈特兰德支付系统-1.3亿
这是阿尔伯特·冈萨雷斯和他的俄罗斯同伙犯下的又一件惊天大案。在零售商TJX的身上尝到甜头之后,这些黑客很快意识到银行卡公司的油水更大。哈特兰德每个月要处理25万笔支付交易,约1亿张卡片信息。
该公司在2008年10月意识到可能被入侵,但在3个月之后才确定此事。攻击者在哈特兰德的一台服务器上安装了嗅探程序,避开了调查取证人员的检测。
哈特兰德在入侵事件发生前,已经6次通过了合规认证。该此入侵导致了该公司在罚款、法律事务和其他事务上的花费超过1.3亿美元,几乎等同于其泄露的银行卡信息-1.3亿张。
4. RBS WorldPay-150万
从数量上来看,150万张银行卡信息的泄露与上面的事件相比,只是小巫见大巫,但RBS可不是零售商或传统的支付服务商。首先,RBS是苏格兰皇家银行的主要支付服务提供商,再者它还提供电子支付业务,包括电子福利转账和预付卡(如代替支票的无纸化工资发放)业务。
RBS于2008年11月发现遭到入侵,攻击者访问了100张工资卡的账户并提高了账户余额和每日提款上限,最高的一个账户提款上限被提到50万美元。然后组织 一批取款人把卡片上的信息复制到提款用的伪造银行卡中,通过全球范围的合作,在12小时内全球2000台自动取款机上劫走了950万美元。
5. 巴恩斯和诺宝-数量未知
巴恩斯和诺宝是美国最大的实体书店,全球第二大网上书店。该书店的入侵事件是历史上第一次针对POS机的入侵事件。事件发生一年后,官方仍未提供入侵的细节 以及泄露的银行卡数量。到现在只知道FBI于2012年9月开始介入调查,在63家分店的POS机上发现了复制卡片信息的恶意软件。恶意软件是如何安装到 POS机上的,至今还不得而知。
6. 加拿大信用卡盗窃团伙
在巴恩斯和诺宝事件发生前几个月,加拿大发生了一起企图篡改POS终端机,以盗窃700万美元的事件。警方称该盗窃团伙位于蒙特利尔,其行动如同军事行动一 样精确,分发克隆的银行卡给各地的同伙。该团伙曾在取款机上安装复制银行卡信息的设备,并且盗窃餐馆和零售店的的POS机在上面安装嗅探程序,然后再归还 回去。这群黑客把偷来POS机在汽车或旅馆里进行改装后,可以用蓝牙隔空从POS机上抓取数据,整个改装过程仅需1个小时。
警方认为,有内部人员收受贿赂为这个团伙打开方便之门。
7. 印度和美国的不知名银行卡服务商-数量未知
在与RBS类似的一起入侵事件中,黑客侵入了美国和印度的几家不知名的银行卡服务商。他们提高了预付费账户的余额,把卡片信息分发给提款人,从世界各地的取款机上取走了4500万美元。
8. Cisero’s Ristorante and Nightclub-数量未知
Cisero’s Ristorante and Nightclub是一家娱乐餐饮公司。实际上,它是否被入侵现在都不得而知,更不用说知道它可能丢失的银行卡信息的数量了。这家犹他州的小型家族式企业 之所以上榜是因为它的“以弱胜强”之战。它反对支付卡行业对被未能证实被入侵企业的不公正罚款。
2008年3月,维萨(Visa)通知美 国银行Cisero’s的网络可能被入侵,因为在该餐馆使用过的银行卡被发现用于在其他地方进行欺诈消费。得知此事后,Cisero’s雇用了两家公司调 查取证,但均未发现任何被入侵或银行卡信息被盗的证据。然而,审计人员的确发现该餐馆的POS终端机存储未加密的顾客账户号码,违反了PCI标准。依据标 准,维萨和万事达对负责自银行卡交易的美国银行和支付处理方Elavon开出了9.9万美元的罚款,并没有对商家和零售商罚款。但美国银行和Elavon 从该餐馆的银行账户中强行扣除了1万美元。
9. 环汇支付有限公司-150万
这家位于亚特兰大的支付处理方,在2012年2月声称被入侵。同年4月,维萨警告此次入侵事件很可能早在2011年就已经发生,并影响到11年6月7日之后 发生的交易。全球支付的首席执行官加西亚在随后召开的投资者会议上声称,由于公司目前安全措施的作用,此次入侵影响的范围很小。全球支付因此事大约损失 9400万美元,一小半用于支付罚款和欺诈损失,一大半用于调查和弥补。
10. 下一次-未知
如同死亡和税收,下一次银行卡入侵事件,不可避免。