Carte di credito violate: non solo Mastercard

Superficialità e incoscienza gli ingredienti principali della mega-razzia di dati. Coinvolti molti altri operatori oltre a Mastercard



[ZEUS News - www.zeusnews.it - 21-06-2005]

[logo della società responsabile della falla]

Computer e modem: 500 euro.
Un mese di accesso a Internet: 20 euro.
Usarli per rubare i dati di 40 milioni di carte di credito: non ha prezzo.
Ci sono cose che non si possono comprare (come le figuracce di questo genere). Per tutto il resto, è proprio il caso di dirlo, c'è Mastercard.

Ma Mastercard non è l'unica società del suo genere coinvolta nello sconquasso. Secondo il New York Times, fra i dati sottratti risultano anche le coordinate delle carte di credito Visa, Citigroup, American Express, Discover e altre. Mastercard è stata semplicemente la prima ad avere il coraggio di denunciare pubblicamente il trafugamento di dati.

Come è potuta succedere una Caporetto informatica del genere? Molto semplice: è sufficiente approfittare delle incredibili falle nella catena di sicurezza del trattamento dei dati delle carte di credito e concentrare l'attacco sull'anello più debole. L'anello più debole, in questo caso, si chiama CardSystems Solutions, una società statunitense che gestisce l'elaborazione delle transazioni elettroniche fra utenti di carte di credito e venditori per molte delle carte più note.

Secondo le ultime dichiarazioni di CardSystems, i conti "compromessi", ossia ai quali l'intruso ha avuto probabile accesso, sono circa 40 milioni, di cui grosso modo 14 milioni sono Mastercard e gli altri appartengono ad altre società. I conti che invece sono stati sicuramente trafugati sono circa 200.000, distribuiti fra le varie marche di carte di credito (68.000 sono Mastercard, 100.000 sono Visa). Sulla base dei dati disponibili, è presumibile che anche gli utenti italiani delle varie carte possano essere a rischio, specialmente se hanno effettuato transazioni con società USA, via Internet o sul territorio statunitense.

E' in corso un'indagine da parte dell'FBI, per cui c'è un certo riserbo, ma le informazioni finora rese pubbliche permettono di ricostruire con ragionevole affidabilità la sconcertante meccanica del disastro. CardSystems conservava senza autorizzazione i dati di alcune transazioni in un file, al quale l'aggressore ha avuto accesso via Internet, scaricandolo. Secondo John M. Perry, boss di CardSystems, i dati erano conservati "a scopo di ricerca" per capire come mai alcune transazioni risultavano non autorizzate o non completate. Perry ha dichiarato che adesso, a buoi scappati, non lo faranno più.

Questo comportamento era in diretta violazione delle norme di sicurezza stabilite da Visa e Mastercard, oltre che dal buon senso, secondo le quali le società che elaborano i pagamenti non devono conservare informazioni relative ai titolari delle carte: devono semplicemente passarle alle rispettive banche.

Le medesime norme prevedono che i loro subappaltatori paghino un esperto indipendente certificato, affinché esegua una valutazione annuale della sicurezza; è obbligatoria anche un'autovalutazione trimestrale, abbinata a test di vulnerabilità della propria rete informatica.

Considerato che CardSystems gestisce oltre 15 miliardi di dollari l'anno di transazioni, questi test non dovrebbero essere economicamente così insostenibili da voler giocare al risparmio. Eppure nulla di tutto questo ha funzionato correttamente presso CardSystems, perché la falla è stata scoperta da tutt'altra fonte: Mastercard stessa, che si è accorta a metà aprile che c'era un aumento anomalo degli addebiti fraudolenti sulle proprie carte. Insieme a Visa, ha lanciato un'indagine che ha permesso di trovare presso CardSystems, a fine maggio, un "programma informatico non autorizzato".

Come se non bastasse questa violazione, il file non era neppure protetto da cifratura, pur includendo dati vitali come il numero della carta e soprattutto il relativo PIN o CVV (codice di sicurezza). L'ipotesi più probabile è che l'intruso sia entrato nel sistema CardSystems tramite una errata configurazione del sito Web della società.

Mastercard è per il momento l'unica società emettritrice di carte di credito che ha ammesso che vi sono stati dei casi di frode direttamente connessi al disastro CardSystems; Visa, invece, sta ancora monitorando la situazione. In ogni caso i titolari delle carte colpite verranno risarciti e tutelati.

E' chiaro a questo punto che ogni titolare di carta, di qualsiasi marca, farà bene a sorvegliare attentamente il proprio estratto conto. Ironicamente, chi ha sempre rifiutato di usare la propria carta di credito su Internet perché temeva frodi è comunque a rischio.

Chi pagherà per questa sconcezza? Si parla già di un'ammenda di 500.000 dollari a carico di CardSystems, ma alla fine saranno i venditori a pagare, tramite il prevedibile aumento dei costi di transazione.

La figuraccia è comunque ormai fatta, e il danno alle reputazioni delle società che si sono appoggiate a subfornitori così incompetenti non si riparerà tanto facilmente. In questo senso, dispiace notare che mentre Mastercard USA informa dettagliatamente dell'accaduto i propri utenti statunitensi, la versione italiana del sito non fa alcuna menzione dell'incidente. Eppure dovrebbe essere evidente che il primo passo per recuperare credibilità è offrire maggiore trasparenza.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Paolo Attivissimo

Commenti all'articolo (ultimi 5 di 13)

Ma.. Leggi tutto
21-7-2005 09:04

Matteo
x Scatenauto Leggi tutto
26-6-2005 10:54

Scatenauto
x Matteo [10] Leggi tutto
24-6-2005 21:43

Matteo
Già fatto Leggi tutto
24-6-2005 15:21

Scatenauto
Consiglio caldamente, se la vostra carta ve lo consente, di attivare l'alert via sms ad ogni movimento sulla carta. Questo permette di sapere entro pochi minuti l'entità del prelievo sulla vostra carta e l'esercente coinvolto nella transazione. Questo permette di bloccare subito la carta e di contattare l'esercente... Leggi tutto
23-6-2005 11:26

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Confessa. Hai mai acquistato un farmaco online?
Assolutamente no, un reato.
Fossi matto! E' un rischio per la salute.
Non si dovrebbe... ma lo ammetto, qualche volta successo.
Lo faccio abitualmente anche se contro la legge o pericoloso.

Mostra i risultati (3240 voti)
Novembre 2017
Attenzione: il set-top box con Kodi può ucciderti
Monaco abbandona Linux e LibreOffice e torna a Windows
iPhone X paralizzato dal freddo: lo schermo smette di funzionare
In prova: Amazon Fire Tv Stick - Basic Edition
iPhone X, campione di fragilità
Licenziato per aver detto la verità
Arriva il DVB-T2, dovremo cambiare il televisore: come scegliere quello giusto
Windows 10 non sarà più gratuito
Ottobre 2017
Youtuber svela l'iPhone X in anteprima e fa licenziare il padre da Apple
Amazon Key dà al corriere le chiavi di casa
Come far risorgere le app cancellate dal Fall Creators Update
Malware per violare i bancomat in vendita nel dark web
Ceo di GitHub: i programmatori sono condannati all'estinzione
Il ransomware per Android che blocca lo smartphone due volte
Il falso Adblock che ha ingannato decine di migliaia di utenti
Tutti gli Arretrati


web metrics