Mi történt valójában a CardSystems szerverén?
Az online kereskedelem történetének eddigi legsúlyosabb biztonsági incidensére derült fény az elmúlt napokban. Mint ismeretes, egy bankkártya-tranzakciókat feldolgozó cég, a CardSystems arizonai szerverét támadták meg ismeretlen tettesek, ahol több mint 40 millió bankkártya-tulajdonos adatait tárolták – mint utóbb kiderült, szabálytalanul. Az illetéktelen behatolást még május 22-én fedezték fel, de az ügyben érintett két fő kártyakibocsátó, a Visa és a MasterCard csak a vizsgálatok első körének lezárulta után, múlt pénteken jelentette be az esetet.
Hazai források összesen 68 ezer számlaadat kiszivárgásáról számolnak be, azonban ez nem pontos, mivel ez a szám csupán a MasterCard ügyfeleit jelenti. A feltört CardSystem ügyvezetője, John Perry összesen kétszázezerre becsülte az ellopott bankártya-adatokat, amelynek a nagyobbik része Visa-kártyákhoz tartozott. A Visa illetékese még pesszimistább, a cég biztonsági szakértői szerint csak Európában akár 800 ezer kártyát is érinthet a támadás.
Nem maradtunk ki belőle
Tegnap biztossá vált, hogy az ügy magyarországi kártyatulajdonosokat is érint, noha a délelőtt folyamán Dunavölgyi Mária, a MasterCard Europe régiónkért felelős igazgatója még arról tájékoztatta az MTI-t, hogy nem kaptak értesítést az anyacégtől magyar érintettségről. Délutánra azonban kiderült, több száz magyar kártyatulajdonos adatát szerezték meg a hackerek. Az eddigi hírek szerint kárt egyiküknek sem okoztak, és az összes érintett pénzintézet azonnal intézkedett a bankkártyák díjmentes cseréjéről, amelyről már értesíteni is tudták a számlatulajdonosok zömét.
Hirdetés
Az eddigi adatok szerint az OTP ügyfelei közül érinti a legtöbbet az eset, körülbelül háromszáz bankkártya adatai kerültek illetéktelen kezekbe, ennek kétharmada MasterCard, a többi Visa. A Raiffeisen Bank néhány tucat érintett ügyfélről számolt be, a CIB szóvivője kevéssé konkrétan úgy nyilatkozott, két számjegyű a náluk vizsgált számlák száma. Az Inter-Európa Banknak négy ügyfelét érinti a biztonsági intézkedés, a K&H-nál szintén csak néhány kártyabirtokos került veszélybe. Az MTI információi szerint eddig a Budapest Banknál és az Erste Banknál derült ki megnyugtatóan, hogy ügyfeleik bankkártyaszámai nem voltak az ellopottak között. Az adatok ugyanakkor nem teljesek, mivel a legnagyobb magyarországi kártyakibocsátó Citibank még nem adott választ arra, hogy hány kártyatulajdonost érinthetett a támadás.
Mi történt valójában a CardSystemsnél?
Az első hírekből kiderült, hogy a számlainformációk az atlantai székhelyű CardSystems egyik arizonai szerveréből származnak. A kártyatranzakciókat feldolgozó cég itt tárolta a zömében Visa és MasterCard kártyákkal bonyolított online tranzakciók adatait – több mint 40 millió számlaadatot. Az online kereskedelemben bevett szokás, hogy amennyiben egy bank úgy dönt, hogy túl költséges lenne kiépíteni egy saját kártyaelfogadó rendszert, akkor ilyen tranzakciós cégekhez fordul. Amikor egy kereskedő lehúz egy bankkártyát, az információ ehhez a céghez fut be, majd innen továbbítják a bank felé. A CardSystems százezernél is több kis- és középvállalkozással áll kapcsolatban az Egyesült Államokban, a tavalyi évben 15 milliárd dollárnyi tranzakciót bonyolított le.
Mára bizonyossá vált, hogy az elkövetőknek sikerült a biztonsági réseket kihasználva egy rejtett programot telepíteniük a CardSystems szerverére, amely folyamatosan gyűjtötte nekik a bankkártya-adatokat – tehát a behatolás jóval a május 22-i felfedezés előtt történt. A kártékony program tevékenységére épp egy rendkívüli biztonsági átvilágítás során derült fény, amelyet a MasterCard megbízásából végzett el a Cybertrust biztonsági cég. A vizsgálatot azért kezdeményezte a kártyacég, mert több bank részéről is ugrásszerűen megemelkedett a visszautasított, illetve szabálytalan tranzakciók száma. A nyomok a CardSystemhez vezettek.
Az ellenőrzés során kiderült, hogy a cégnél nemcsak it-biztonsági szabályokat hagytak figyelmen kívül, aminek a következtében az illetéktelen behatolás megtörténhetett, hanem a MasterCard és a Visa által közösen lefektetett eljárási szabályokat is súlyosan megszegte a cég. A gyakorlat szerint ugyanis az online átutalás teljesülése után minden tranzakciós fél inkább szabadulni igyekszik az érzékeny számlaadatoktól, hiszen ezek egyfelől biztonsági kockázatot rejtenek magukban, másrészt szabálytalan is a tárolásuk. A CardSystems ezzel szemben a szerverén tárolta a tranzakciós adatokat, mint utóbb magyarázatul elmondták, „kutatási célokból”, hogy megtudják, miért hiúsul meg az online tranzakciók egy kis százaléka. „Ezt talán nem kellett volna” – ismerte el szűkszavúan John Perry, a cég ügyvezetője a The New York Times tegnapi számában.
Jövőkép még nagyobb veszélyekkel
Az online kereskedelem fekete napja
A bankkártyacégek és az e-kereskedők természetesen pontosan tudják, mekkora a baj. A Visa sietett is kommentálni a CardSystemsnél elkövetett szabálytalanságokról szóló híreket. „Nincs szó általános problémáról, hiszen ebben az esetben egy bizonyos tranzakciós cég nem tartott be fontos szabályokat” – nyilatkozta a sajtónak Rosetta Jones, a cég szóvivője.
Ez persze világos érvelés, csakhogy a gond nem itt van. Hanem ott, hogy a felhasználóknak a számítógép előtt ülve semmilyen lehetőségük nincs meggyőződni arról, hogy az a cég, amelyikre épp rábízni készülnek bankkártyaadataikat, vajon betartja-e az előírásokat – vagy „kutatásokat végez”, mint a CardSystems. Hiszen a felhasználó még azt sem tudja megállapítani, hogy kinek fizet, milyen kezeken megy keresztül az átadott információ, közreműködik-e tranzakciós cég, vagy közvetlenül a kibocsátó bankkal áll online kapcsolatban. Emiatt az online vásárlásba vetett bizalom megrendülhet a mostani eset kapcsán – és ebben az esetben igenis szó van általános problémáról.
Az online kereskedők ráadásul eddig sem voltak irigylésre méltó helyzetben – derül ki a témára szakosodott német Pago cég ez évi felméréséből. A 150 oldalas tanulmány szerint a hitelkártyákkal történő online visszaélések egyre inkább fenyegetik azokat a vállalkozásokat, amelyek az interneten keresztül értékesítik termékeiket és szolgáltatásaikat. Az online kereskedők nehéz helyzetbe kerültek, hiszen ha meg akarják tartani ügyfeleiket, nem tagadhatják meg tőlük a hitelkártyás fizetés lehetőségét. Amennyiben a csalók lopott vagy hamisított hitelkártyák adatait használják fel, a tulajdonosok visszaigénylik a kártyájukról jogtalanul leemelt összegeket, amivel a kereskedők fizetnek rá. Ez manapság olyan gyakran előfordul, hogy számos online vállalkozás a csőd szélére került. A 2005-ös Pago-jelentés szerint az európai e-kereskedelem 0,83 százalékos visszaigénylési aránya első pillantásra elég alacsonynak tűnik, a részletes elemzés azonban komoly aggodalomra adhat okot. A manipulált hitelkártyaadatokkal elkövetett csalások nyomán történt visszaigénylések aránya például 2003-ban alig haladta meg a 4 százalékot, 2004-ben viszont 7 százalék fölé emelkedett.
Az alábbi táblázat az idei év legnagyobb számla- vagy bankkártyaadatok megszerzésére irányuló számítógépes bűncselekményeit tartalmazza:
| Dátum | Érintett vállalat(ok) | Érintett számlák (millió db) | Elkövetés módszere |
| február 25. | Bank of America |
1,2 | Ellopott biztonsági mentések |
| április 18. | DSW raktáráruház | 1,3 | Szerver-feltörés |
| június 6. | CitiFinancial | 3,9 | Ellopott biztonsági mentések |
| június 17. | Visa, MasterCard | 40,0 | Biztonsági rés, kémprogram |
A baj nem jár egyedül
Azt eddig is tudtuk, hogy a tolvajt az alkalom szüli, de hogy a mostani eset kapcsán a terhesség ilyen gyors lefolyású lesz, az még a szakértőket is meglepte. A MasterCard bejelentésének már másnapján megjelent az a phishing (adathalász) e-mail, amely a CardSystem feltörésének hírét övező felfokozott érdeklődést és aggodalmat igyekszik kihasználni. A rosszindulatú elektronikus levél szerencsére nem a jobb minőségű phishing-próbálkozások közé tartozik – amelyek nem ritkán a megcélzott pénzintézet honlapjának élethű és teljesen működő mását is elkészítik annak érdekében, hogy a felhasználót megtévesszék –, ezért nem valószínű, hogy sokan fognak bedőlni neki. Feladóként ugyanis Master Bank szerepel MasterCard helyett, és kis gyakorlattal a levél törzsében is jól azonosítható a hivatkozás, amely nem a kártyakibocsátó oldalára mutat. Azonban pánikhangulatban az emberek hajlamosak figyelmetlenebbül cselekedni, és arra nagyon jó példa ez az e-mail, hogy lássuk, a bűnözők minden lehetőséget igyekeznek kihasználni – még ezt a pszichés faktort is.
Hazai bankszonda
Elgondolkodtunk, vajon milyen hatékonysággal tudná átejteni a bankkártya-használókat egy Magyarországon kibocsátott hasonló phishing-levél. Még inkább azon, hogy a hazai pénzintézetek a mostani botrány kapcsán milyen segítséget nyújtanak az érthetően ijedt ügyfeleknek. Azt kell mondanunk, az eredmény a legpesszimistább becsléseinket is alulmúlta.
Tizenegy nagyobb lakossági bank portálját kerestük fel a cikk publikálása előtt, hogy leteszteljük, a kialakult helyzetben, amikor tegnap este minden elektronikus médium vezető hírként számolt be a bankkártyákkal történő visszaélésekről, számlavezető bankunk hogyan igyekszik minket megnyugtatóan tájékoztatni. Sehogy. És ez nem vicc.
A tizenegy portál közül hármon, a Budapest Bank, a Citibank és az Erste Bank honlapján nincs is igazán olyan hely, ahová ilyen sürgős közleményeket akár percek alatt ki lehetne tenni. Paradox módon ebben a konkrét esetben mégis ezekkel a site-okkal szemben lehettünk volna elnézőbbek, hiszen nekik bonyolultabb megoldást kellett volna találniuk a közlésre azokkal az oldalakkal szemben, amelyeken egy könnyen kezelhető hírbox teljesít szolgálatot épp az ilyen helyzetekre. De egy pop-up ablak még itt is megoldást jelenthetett volna – legalábbis a felhasználók azon egyre fogyatkozó csoportjának, akiknél még nincsenek letiltva a felugró ablakok.
A többi vizsgált pénzintézet – CIB, HVB, ING, IEB, K&H, MKB, OTP és Raiffeisen – oldalán hiába van meg az egyszerű és szem előtt lévő eszköz az információk gyors közlésére, a hét vége eseményeiről semmilyen – akár megnyugtató, akár figyelmeztető és óvatosságra intő – közleményt nem találtunk. Tesztünk végéhez közeledve, amikor már nagyon kerestük a pozitív példát – mert az minden összehasonlításban hasznos, ha van –, majd kiugrottunk a bőrünkből, amikor a CIB Bank honlapján már első pillantásra egy vezető helyen levő, kiemelt háttérszínnel megjelenő közleményt találtunk, amely úgy kezdődött, hogy MasterCard. A milliszekundumok alatt önkéntelenül feltoluló dicsérő jelzőket azonban hamar visszanyeltük. A pénteken – tehát a botrány kirobbanásának napján – megjelent közlemény csupán a MasterCard vállalkozói hitelkártya igénylésére buzdít.
Szentesi Kálmán
