Павел Федоров, руководитель департамента аудита банков и платежных систем Digital Security, старший QSA-аудитор, прокомментировал данный инцидент.
Крупнейшие платежные системы MasterCard и Visa в пятницу заявили о том, что информация о держателях платежных пластиковых карт может оказаться под угрозой по вине третьей стороны.
Visa и MasterCard выпустили краткие заявления, в которых подчеркнули, что системы безопасности компаний не причастны к утечке. Обе компании не уточнили предполагаемое число пострадавших владельцев карт, в Visa только отметили, что утечка информации могла затронуть все типы пластиковых карт, выпускаемых компанией. СМИ со ссылкой на разные источники приводят оценки от 1 млн до 10 млн пластиковых карт.
Утечка произошла по вине процессинговой компании Global Payments, которая обрабатывает данные кредитных и дебетовых карт для банков и торговых точек, сообщает The Financial Times. В пятницу Global Payments заявила, что в начале марта заподозрила «несанкционированный доступ к части системы обработки» и проинформировала об этом федеральные правоохранительные органы.
The New York Times со ссылкой на неназванные источники в банковских кругах пишет, что утечка могла произойти раньше — в период с конца января по конец февраля. По словам источников издания, банки недовольны длительным молчанием Global Payments. Они также отмечают, что после выявления взлома системы процессинговая компания не предоставила банкам достаточно информации, которая могла бы помочь установить оказавшихся в зоне риска владельцев карт. Представители следствия сообщили газете, что это уже вторая утечка данных по вине Global Payments за последние 12 месяцев.
Global Payments занимает седьмое место среди крупнейших процессинговых компаний, по оценке журнала The Nilson Report. Сумма операций с картами Visa и MasterCard, произведенных компанией в 2011 г., превысила $120 млрд. Информация об утечке данных в пятницу спровоцировала падение котировок компании на Нью-Йоркской фондовой бирже на 9,1%.
Крупнейшая утечка данных о владельцах пластиковых карт произошла в 2008 г. — тогда хакеры взломали компьютерные системы процессинговой компании Heartland Payment Systems и нескольких розничных сетей, похитив информацию о 130 млн пластиковых карт.
Павел Федоров, руководитель департамента аудита банков и платежных систем Digital Security, старший QSA-аудитор, прокомментировал данный инцидент:
На данный момент причина инцидента точно не известна. В любом случае по реакции платежных систем ясно, что инцидент крайне серьезный и резонансный для индустрии платежных карт. Этот инцидент в очередной раз наглядно показал всю остроту проблем безопасности карточных данных и необходимость не только ежегодно подтверждать у QSA-аудитора соответствие PCI DSS на практике, а не на бумаге, но и каждый день собственными силами поддерживать его на необходимом уровне. Ведь, как известно, на сегодняшний день во всех инцидентах, которые случались в сертифицированных процессинговых центрах, непосредственнно на момент инцидента система не соответствовала PCI DSS.
- Стоимость медиауслуг (открыть PDF) -
%20(1).png)