Ο Διευθύνων Σύμβουλος της Heartland: Απαιτείται Κρυπτογράφηση Πιστωτικής Κάρτας

οδηγίες για κρυπτογράφηση κατά τη μεταφορά μεταξύ εμπόρων λιανικής, μεταποιητών πληρωμών και εκδοτών καρτών, Robert Carr, πρόεδρος και διευθύνων σύμβουλος της Heartland Payment Systems, δήλωσε σε επιτροπή της Γερουσίας των ΗΠΑ. Η Heartland ανακοίνωσε τον Ιανουάριο την ανακάλυψη μιας παραβίασης δεδομένων που άφησε δεκάδες εκατομμύρια αριθμών πιστωτικών καρτών που εκτέθηκαν σε μια συμμορία των χάκερ.

«Γνωρίζω τώρα ότι αυτός ο κλάδος πρέπει να κάνει και να κάνει περισσότερα για να το προστατεύσει καλύτερα από όλο και πιο εξελιγμένες μεθόδους που χρησιμοποιούνται από αυτούς τους κυβερνοεγκληματίες », δήλωσε ο Carr στην Επιτροπή Εσωτερικής Ασφάλειας και Κυβερνητικών Υποθέσεων της Γερουσίας. "Πιστεύω ότι είναι ζωτικής σημασίας η εφαρμογή νέας τεχνολογίας, όχι μόνο στη Heartland, αλλά και σε ολόκληρη τη βιομηχανία". Σκοπός της ακρόασης της επιτροπής ήταν, εν μέρει, να καθοριστεί εάν απαιτείται νέα νομοθεσία για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο.

[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

Η Heartland πιέζει τη βιομηχανία των πιστωτικών καρτών να υιοθετεί ένα πρότυπο κρυπτογράφησης από άκρο σε άκρο, είπε, και η εταιρεία αναπτύσσει τερματικά σημείου πώλησης ανθεκτικά στις παραβιάσεις στις λιανικές πωλήσεις των μελών της. "Ο στόχος μας είναι να καταργήσουμε εντελώς τους αριθμούς λογαριασμών πληρωμών των πιστωτικών και χρεωστικών καρτών και των δεδομένων μαγνητικής λωρίδας, ώστε να μην είναι ποτέ προσπελάσιμα σε χρήσιμη μορφή στα συστήματα εμπόρων ή επεξεργαστών", δήλωσε ο Carr.

Η Heartland ζήτησε από τις εταιρείες πιστωτικών καρτών δέχονται κρυπτογραφημένες συναλλαγές και η εταιρεία έχει αναλάβει τους οργανισμούς τυποποίησης και τους πωλητές κρυπτογράφησης, δήλωσε ο Carr. Η εταιρεία συνέβαλε επίσης στη δημιουργία ενός συμβουλίου ανταλλαγής πληροφοριών για τους μεταποιητές πληρωμών, όπου οι εταιρείες μπορούν να μοιράζονται πληροφορίες σχετικά με απειλές, τρωτά σημεία και βέλτιστες πρακτικές, δήλωσε.

«Εργαζόμαστε σε αυτές τις τεχνολογικές και συνεταιριστικές λύσεις, διότι Δεν θέλω κανέναν άλλον στη βιομηχανία μας ή τους πελάτες μας ή τους πελάτες τους … να πέσουν θύματα αυτών των κυβερνοεγκληματιών », ανέφερε.

Ο Carr δεν έδωσε λεπτομέρειες σχετικά με την παραβίαση του Heartland, στην οποία η εταιρεία διακυβεύτηκε για περίπου ένα και ενάμιση χρόνο. Η εταιρεία εξακολουθεί να συμμετέχει στις έρευνες και τις αγωγές που αφορούν την παραβίαση, δήλωσε.

Ωστόσο, η Heartland πλήρωσε περίπου 32 εκατομμύρια δολάρια ΗΠΑ το πρώτο εξάμηνο του 2009 για εγκληματολογικές έρευνες, νομικές εργασίες και άλλες κατηγορίες που σχετίζονταν με την παραβίαση.

Οι γερουσιαστές ζήτησαν από τον Carr κάποιες συγκεκριμένες ερωτήσεις σχετικά με την παραβίαση. Η γερουσιαστής Susan Collins, ένας Ρεπουμπλικανός του Maine, ήθελε να μάθει πώς θα μπορούσε να διακυβευτεί η εταιρεία από τον Οκτώβριο του 2006 έως τον Μάιο του 2008 χωρίς να ανακαλύψει την παραβίαση. "Με εκπλήσσει το πόσο μεγάλη παρέμενε όταν αυτοί οι χάκερ μπόρεσαν να κλέψουν αυτούς τους αριθμούς πιστωτικών καρτών", είπε. "Εξηγήστε μου πώς μια παραβίαση αυτού του μεγέθους θα μπορούσε να μην εντοπιστεί για τόσο πολύ καιρό."

Οι κάτοχοι καρτών δεν αναφέρουν σημαντικές παραβιάσεις, απάντησε ο Carr. "Ο τρόπος με τον οποίο ανιχνεύονται συνήθως παραβιάσεις είναι ότι καθορίζονται οι ψευδείς χρήσεις των καρτών", ανέφερε. "Δεν υπήρξε καμία ένδειξη δόλιας χρήσης των καρτών που ήρθαν στην αντίληψή μας μέχρι το τέλος του 2008."

Ο Collins τον πίεσε περαιτέρω. "Αλλά δεν υπάρχουν προγράμματα υπολογιστών που κάποιος μπορεί να χρησιμοποιήσει για να ελέγξει εάν έχει συμβεί μια εισβολή;" "Ο 9χρονος γερουσιαστής Joe Lieberman, ανεξάρτητος από το Κοννέκτικατ, ρώτησε τον Carr για την έκταση της παραβίασης.

Τον Αύγουστο, Ο Αλβέρτος Γκονζάλες του Μαϊάμι κατηγορήθηκε στο Νιου Τζέρσεϋ για την κλοπή περισσότερων από 130 εκατομμυρίων πιστωτικών και χρεωστικών καρτών, σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ. Είχε κατηγορηθεί, μαζί με δύο ανώνυμους συν-συνωμολόγους, με τη χρήση επιθέσεων SQL injection για να κλέψουν τις πληροφορίες πιστωτικών και χρεωστικών καρτών από την Heartland, την 7-Eleven και την Hannaford Brothers, μια αλυσίδα σούπερ μάρκετ που εδρεύει στο Maine. Ο Γκονζάλες έκρινε ένοχος την περασμένη εβδομάδα να χωρίσει κατηγορίες στη Μασαχουσέτη και τη Νέα Υόρκη.

Είναι πολύ νωρίς για να πούμε πόσα αριθμοί πιστωτικών καρτών επεξεργάστηκαν από την Heartland υπονομεύθηκαν, είπε ο Carr. "Δεν γνωρίζουμε την έκταση της απάτης σε αυτό το σημείο", είπε. "Είναι ένας σημαντικός συμβιβασμός."