Плохо, когда утечки данных о банковских картах случаются у магазинов, хуже, когда у банков, еще хуже — когда у процессинговых фирм. Кража данных у компании Heartland Payment Systems — судя по всему, самая крупная в истории.
Осенняя утечка информации о восьми миллионах карт представляется небольшим досадным недоразумением по сравнению со случившимся: под угрозой более сотни миллионов владельцев дебитных и кредитных карт. Как это случается, неизвестные при неустановленных обстоятельствах поместили в сеть компании программу, позволившую им перехватить данные о пользователях. Неизвестно буквально ничего: ни в какой момент в 2008 году это произошло, ни какое количество информации смогли получить злоумышленники. Однако с учетом того, что каждый месяц через Heartland проходят транзакции с сотни миллионов различных карт, оценка количества потенциальных жертв кардеров колеблется около этого значения. Аналитик исследовательской компании Gartner Авива Литан полагает, что это крупнейшая кража в истории. При этом, возможно, злоумышленникам удалось получить данные Track 2, включая PIN-код (правда зашифрованный), то есть весь набор данных, необходимых для создания поддельной карты.
Процессинг под ударом
Как отмечает Авива Литан, в последнее время мошенники обратили свое внимание именно на процессоров платежей. В конце декабря, под самое Рождество, стало известно, что данные около полутора миллионов владельцев карт, пользовавшихся процессингом компании RBS, попали к злоумышленникам. Ближе к другому Рождеству обнаружилась пятимиллионная утечка у процессинговой фирмы CheckFree. Все эти утечки объединяет то, что раскрылись практически все данные держателя.
Авива Литан справедливо называет процессинговые службы «нервным центром» системы платежей по картам. Помимо этого, есть и еще один повод считать кражу данных у процессоров опасной. Если человек слышит в новостях, что номера карт украли у того магазина, где он покупал, или у того отеля, где он останавливался, он, скорее всего насторожится, предпримет меры и в конце концов его деньги с большой вероятностью останутся при нем. Про то, процессинг какой фирмы использовался при платеже, плательщик едва ли знает, а, значит, новость скорее всего пройдет мимо его ушей.
Нервный центр системы платежей под ударом. Не верится, чтобы решение не придумали: слишком уж большие деньги оборачиваются в этом бизнесе. Остается надеяться, что это решение не окажется чересчур обременительным для плательщиков.