Vakavat laiminlyönnit johtivat luottokorttien tietovarkauteen
0
Yhdysvalloissa tapahtuneen massiivisen luottokorttitietojen varkauden jäljet johtavat ohjelmistojen turva-aukkoihin ja vakoiluohjelmiin. Varkauden takaa on paljastunut myös vakavia tietoturvan laiminlyöntejä, ja tilanne lähti purkautumaan vasta pankkien sekä Mastercardin automaattisten tiedonlouhintajärjestelmien ansiosta.
Historian kenties suurin ja vakavin luottokorttitietojen varkaus tuli julkiseen tietoon viikonlopun aikana. Yhdysvalloissa vaarassa ovat noin 40 miljoonan luottokortin tiedot, ja suomalaisiakin kortteja on vaarassa yli 6000. Tällä hetkellä näyttää siltä, että Cardsystemsin järjestelmistä on siirretty verkon ulkopuolelle vain noin 200 000 luottokortin tiedot, joten vaara on ilmeisesti pienempi kuin aluksi luultiin. Varastetuista korttitiedoista 68 000 on Mastercardeja, loput esimerkiksi Visa- tai American Express -kortteja.
Turva-aukkoja ja maksuliikenteen nauhoitusta
Mastercardin kertomien uusien tietojen mukaan varkaus pääsi tapahtumaan, koska arizonalaisen maksutapahtumia käsittelevän Cardsystems Solutions -yhtiön verkossa oli turva-aukkoja. Hyökkääjät pääsivät turva-aukkojen kautta käsiksi verkon koneisiin ja asensivat sinne omia vakoiluohjelmiaan, jotka nauhoittivat maksuliikennettä. Cardsystemsin web-palvelinten on huomattu pyörivän Windows 2000- ja IIS Server 5.0 -alustalla, mikä on johtanut epäilykseen myös taustajärjestelmien Windows-pohjaisuudesta.
Cardsystems ei ilmeisesti itse huomannut murtoa lainkaan. Ongelmat alkoivat selvitä vasta silloin, kun luottokorttiyhtiö Mastercardille alkoi tulla useilta eri pankeilta ilmoituksia epäselvyyksistä.
Pankkien tekoälyjärjestelmät löysivät ongelman
Pankkien automaattiset tiedonlouhinnan järjestelmät seuraavat koko ajan maksuliikennettä ja pyrkivät etsimään joukosta epäilyttäviä maksutapahtumien sarjoja. Rikolliset siis käyttivät korttien tietoja aktiivisesti ostoihin. Mastercard alkoi selvittää pankkien raportteja, sekä ilmoituksia huijauksista, ja vyyhti alkoi johtaa Cardsystemsin jäljille.
Mastercardin selvitykset paljastivat myös, että Cardsystems oli rikkonut räikeästi turvamääräyksiä. Maksutapahtumien jälkiä ei ollut hävitetty riittävän nopeasti, vaan järjestelmissä oli runsaasti vanhempien tapahtumien tietoja. Kaikkein vakavinta oli se, ettei maksutapahtumien tietoja ollut salakirjoitettu.
Tapaus on nostanut jälleen esille internetissä rehottavan luottokorttitietojen kaupan. Toiminnan ympärille on syntynyt kokonainen ekosysteemi, johon kuuluu tietojen varastajia ja niitä ostavia rikollisia. Oman osansa ottavat tietojen välittäjät, jotka tyypillisesti pitävät viestipalvelimia Venäjällä. Toimintaan liittyy myös useita muunlaisia palveluja, joita tarjotaan näille pelureille.
