Carte di credito violate: non solo Mastercard

Superficialità e incoscienza gli ingredienti principali della mega-razzia di dati. Coinvolti molti altri operatori oltre a Mastercard



[ZEUS News - www.zeusnews.it - 21-06-2005]

[logo della società responsabile della falla]

Computer e modem: 500 euro.
Un mese di accesso a Internet: 20 euro.
Usarli per rubare i dati di 40 milioni di carte di credito: non ha prezzo.
Ci sono cose che non si possono comprare (come le figuracce di questo genere). Per tutto il resto, è proprio il caso di dirlo, c'è Mastercard.

Ma Mastercard non è l'unica società del suo genere coinvolta nello sconquasso. Secondo il New York Times, fra i dati sottratti risultano anche le coordinate delle carte di credito Visa, Citigroup, American Express, Discover e altre. Mastercard è stata semplicemente la prima ad avere il coraggio di denunciare pubblicamente il trafugamento di dati.

Come è potuta succedere una Caporetto informatica del genere? Molto semplice: è sufficiente approfittare delle incredibili falle nella catena di sicurezza del trattamento dei dati delle carte di credito e concentrare l'attacco sull'anello più debole. L'anello più debole, in questo caso, si chiama CardSystems Solutions, una società statunitense che gestisce l'elaborazione delle transazioni elettroniche fra utenti di carte di credito e venditori per molte delle carte più note.

Secondo le ultime dichiarazioni di CardSystems, i conti "compromessi", ossia ai quali l'intruso ha avuto probabile accesso, sono circa 40 milioni, di cui grosso modo 14 milioni sono Mastercard e gli altri appartengono ad altre società. I conti che invece sono stati sicuramente trafugati sono circa 200.000, distribuiti fra le varie marche di carte di credito (68.000 sono Mastercard, 100.000 sono Visa). Sulla base dei dati disponibili, è presumibile che anche gli utenti italiani delle varie carte possano essere a rischio, specialmente se hanno effettuato transazioni con società USA, via Internet o sul territorio statunitense.

E' in corso un'indagine da parte dell'FBI, per cui c'è un certo riserbo, ma le informazioni finora rese pubbliche permettono di ricostruire con ragionevole affidabilità la sconcertante meccanica del disastro. CardSystems conservava senza autorizzazione i dati di alcune transazioni in un file, al quale l'aggressore ha avuto accesso via Internet, scaricandolo. Secondo John M. Perry, boss di CardSystems, i dati erano conservati "a scopo di ricerca" per capire come mai alcune transazioni risultavano non autorizzate o non completate. Perry ha dichiarato che adesso, a buoi scappati, non lo faranno più.

Questo comportamento era in diretta violazione delle norme di sicurezza stabilite da Visa e Mastercard, oltre che dal buon senso, secondo le quali le società che elaborano i pagamenti non devono conservare informazioni relative ai titolari delle carte: devono semplicemente passarle alle rispettive banche.

Le medesime norme prevedono che i loro subappaltatori paghino un esperto indipendente certificato, affinché esegua una valutazione annuale della sicurezza; è obbligatoria anche un'autovalutazione trimestrale, abbinata a test di vulnerabilità della propria rete informatica.

Considerato che CardSystems gestisce oltre 15 miliardi di dollari l'anno di transazioni, questi test non dovrebbero essere economicamente così insostenibili da voler giocare al risparmio. Eppure nulla di tutto questo ha funzionato correttamente presso CardSystems, perché la falla è stata scoperta da tutt'altra fonte: Mastercard stessa, che si è accorta a metà aprile che c'era un aumento anomalo degli addebiti fraudolenti sulle proprie carte. Insieme a Visa, ha lanciato un'indagine che ha permesso di trovare presso CardSystems, a fine maggio, un "programma informatico non autorizzato".

Come se non bastasse questa violazione, il file non era neppure protetto da cifratura, pur includendo dati vitali come il numero della carta e soprattutto il relativo PIN o CVV (codice di sicurezza). L'ipotesi più probabile è che l'intruso sia entrato nel sistema CardSystems tramite una errata configurazione del sito Web della società.

Mastercard è per il momento l'unica società emettritrice di carte di credito che ha ammesso che vi sono stati dei casi di frode direttamente connessi al disastro CardSystems; Visa, invece, sta ancora monitorando la situazione. In ogni caso i titolari delle carte colpite verranno risarciti e tutelati.

E' chiaro a questo punto che ogni titolare di carta, di qualsiasi marca, farà bene a sorvegliare attentamente il proprio estratto conto. Ironicamente, chi ha sempre rifiutato di usare la propria carta di credito su Internet perché temeva frodi è comunque a rischio.

Chi pagherà per questa sconcezza? Si parla già di un'ammenda di 500.000 dollari a carico di CardSystems, ma alla fine saranno i venditori a pagare, tramite il prevedibile aumento dei costi di transazione.

La figuraccia è comunque ormai fatta, e il danno alle reputazioni delle società che si sono appoggiate a subfornitori così incompetenti non si riparerà tanto facilmente. In questo senso, dispiace notare che mentre Mastercard USA informa dettagliatamente dell'accaduto i propri utenti statunitensi, la versione italiana del sito non fa alcuna menzione dell'incidente. Eppure dovrebbe essere evidente che il primo passo per recuperare credibilità è offrire maggiore trasparenza.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Paolo Attivissimo

Commenti all'articolo (ultimi 5 di 13)

Ma.. Leggi tutto
21-7-2005 09:04

Matteo
x Scatenauto Leggi tutto
26-6-2005 10:54

Scatenauto
x Matteo [10] Leggi tutto
24-6-2005 21:43

Matteo
Già fatto Leggi tutto
24-6-2005 15:21

Scatenauto
Consiglio caldamente, se la vostra carta ve lo consente, di attivare l'alert via sms ad ogni movimento sulla carta. Questo permette di sapere entro pochi minuti l'entità del prelievo sulla vostra carta e l'esercente coinvolto nella transazione. Questo permette di bloccare subito la carta e di contattare l'esercente... Leggi tutto
23-6-2005 11:26

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A inizio millennio per lavorare nella new economy bisognava trasferirsi nelle grandi citt, soprattutto Milano. Oggi la banda larga si diffusa, ci sono nuove piattaforme di collaborazione ed cambiato l'approccio al lavoro. Alla luce di questo...
Abito in una grande citt e qui rimarr.
Abito in una grande citt ma sto valutando di trasferirmi in provincia.
Abito in provincia e non mi sposter di certo.
Abito in provincia ma sto valutando di trasferirmi in una grande citt.
Abitavo in una grande citt ma mi sono traferito in provincia.
Abitavo in provincia ma mi sono trasferito in una grande citt.
Citt o provincia non fa grande differenza, ma mi sono trasferito (o sto valutando di trasferirmi) all'estero.

Mostra i risultati (1153 voti)
Giugno 2017
Microsoft: ''Sì, disabilitiamo gli antivirus. Per il bene degli utenti''
Banda larga, scontro assurdo fra Tim e Governo
Il caso del sindacalista che criticava gli stipendi d'oro
Italia, via libera al trojan di Stato
Difendersi dalle app-truffa presenti nell'App Store di Apple
Roaming dati nell'UE ''gratuito'' da ieri: occhio alle sorprese
Firefox 54, più sicuro con la sandbox e più leggero
Il link che infetta il Pc senza nemmeno dover cliccare
Ecco come vengono sfruttati in concreto i dati delle nostre navigazioni
Windows 10, un assaggio del Fall Creators Update
Dai gattini bonsai alla disinformazione pianificata
Ex pornostar chiama in causa i pirati
Qualche chicca nascosta di Google
Antivirus e installazioni
Il forno a microonde per videogiocare
Tutti gli Arretrati


web metrics