Spočítejte si...

Zavřít

Krádež dat 40 milionů karet - jsou ohroženi i Češi?

Zatím neznámému útočníku se podařilo s pomocí počítačového viru získat informace o 40 milionech karet, z nichž mnohé může zneužít. Potenciální nebezpečí hrozí i českým držitelům platebních karet. Jak k útoku došlo a jak velké je nebezpečí pro majitele karet?

Ke krádeži informací o kartách došlo u atlantského zpracovatele plateb pro banky a obchodníky CardSystems Solutions. 22. května tohoto roku odhalili napadení databáze virem, s jehož pomocí útočník zcizil data o 40 milionech platebních kartách – číslo karty, datum expirace a bezpečnostní kódy (CVV2). Podle dostupných informací data neobsahují informace o datu narození čí čísle sociálního pojištění (social security nuber), takže útočník nemůže zneužít identitu majitele karty. Co ale provést může, je zneužití karty.

Společnost CardSystems Solutions nepatří mezi malé firmy, o čemž svědčí skutečnost, že zpracovává kartové transakce pro 105 tisíc obchodníků v ročním objemu přes 15 mld. USD. Tomu odpovídá i rozsah škod, ke kterým došlo při úniku dat. Jen společnost MasterCard připustila únik informací o 13,9 milionech karet, z nichž je „jen“ 68 tisíc vážně ohroženo. Nejvíce postiženou asociací je Visa, která eviduje únik dat u 800 tisíc karet vydaných jen v Evropě, z nichž vážné nebezpečí zneužití hrozí u cca 40 tisíc karet. Vzhledem k tomu, že se jedná o únik dat z jiného kontinentu, jde o cifru poměrně vysokou. Postiženy jsou též v menším rozsahu karty společností American Express a Discover (tato společnost se k počtu odcizených údajů nevyjádřila).

Podle slov Milana Laitla, vicepresidenta MasterCard Europe pro Českou republiku, došlo k odcizení údajů pravděpodobně z důvodu nedodržení bezpečnostní politiky ze strany CardSystems Solutions. Jedná se tedy spíše o ojedinělý případ než o systémovou chybu a majitelé platebních karet nemusí mít zvýšené obavy.

Přesto mohou být kvůli úniku informací v USA potenciálně ohrožené i karty vydané v České republice, se kterými bylo placeno u amerických obchodníků (např. přes internet) nebo přímo ve Spojených státech (např. na dovolené) mezi srpnem 2004 a květnem 2005. Společnosti MasterCard a Visa předaly bankám informace o potenciálně ohrožených kartách a výsledky na sebe nenechali dlouho čekat. Přestože ke zneužití karet nedošlo, banky postižené karty preventivně zablokovaly (a uvedly na stoplist).

Nejvíce karet zablokovala dosud GE Money Bank – 216, což je mnohonásobně více, než jaký počet hlásí tři největší banky. Česká spořitelna preventivně zablokovala 30 karet, Komerční banka a ČSOB (viz V reakci na napadení karetních systémů v USA ČSOB preventivně a bezplatně převydává karty klientů, kteří je použili u amerických obchodníků) shodně hovoří o několika desítkách. Všechny banky zablokování karet i vydání karty nové provedou bezplatně a klienty, kterým karty zablokovaly, budou kontaktovat.

Počty zablokovaných karet
Banka Počet zablokovaných karet
Česká spořitelna 30
ČSOB několik desítek
GE Money Bank 216
Komerční banka několik desítek

Zatím tedy nedošlo ke zneužití dat. Visa i MasterCard zpřísnily vyhodnocování podezřelých transakcí, které mohou svědčit o pokusu o vykradení karty, a tak se zdá být vše v pořádku. Ve Spojených státech nedojde zřejmě k zablokování všech potenciálně zneužitelných karet, kterážto operace by stála při ceně 10 USD za kartu astronomických 400 mil. USD, ale dle amerického práva nesmí vydavatel karty účtovat zákazníkovi více než 50 USD. Zpřísnění vyhodnocování podezřelých transakcí navíc zvyšuje pravděpodobnost včasného odhalení pokusu.

Stejnou službu pro banky a obchodníky v České republice vykonává společnost MUZO. Ta se ale v rámci své firemní politiky k případům konkurence nechce vyjadřovat, a tak nám pouze sdělila, že její bezpečnostní mechanismy odpovídají požadavkům kartových asociací.

Přesto se není třeba přehnaně obávat. Podle slov představitele společnosti Visa za poslední tři roky k napadení kartových systémů v Evropě nedošlo, což nám potvrdil i představitel společnosti MasterCard. Terčem útoků se stávají především systémy ve Spojených státech. I hrozivé číslo 40 tisíc potenciálně ohrožených karet Visa vydaných v Evropě je pouhým jedním promile ze všech zde emitovaných karet. A co je nejdůležitější: je v zájmu kartových asociací i bank, aby byla zachována důvěra v moderní platební nástroje, a proto se postarají o to, aby náklady na jejich řešení nepadly na hlavu (rozumějte peněženku či bankovní účet) jejich klientů, jak je vidět i z postupu tuzemských bank.

Jedna věc je ale poněkud zneklidňující. Společnost CardSystems Solutions napadení odhalila 22. května 2005, kdy ho sice oznámila FBI (která zahájila vyšetřování), veřejnost se ale první informace dozvěděla až 18. června 2005 od společnosti MasterCard, která začala řešit nestandardní operace po zpřísnění systému vyhodnocování transakcí. CardSystem Solutions se odvolává na mlčenlivost vyžádanou FBI, která ovšem dle slov své mluvčí nechtěla pouze zveřejnit citlivé údaje v případu. Téměř měsíc tak majitelé karet se zcizenými údaji ani nevěděli o hrozícím nebezpečí. Banky taktéž mohly jednat a karty blokovat až s měsíčním zpožděním…

Optimistické slovo na závěr: Kartové platební systémy jako celek procházejí neustálou modernizací a vývojem, čehož je dokladem zavádění čipových technologií a rychlý rozvoj 3D Secure – bezpečného systému placení kartou přes internet, který, byť zatím jen obchodníkům, nabízejí všechny tři největší tuzemské banky.

Anketa

Změní tento případ váš postoj k placení kartou?

1 názor Vstoupit do diskuse
poslední názor přidán 10. 8. 2005 16:34