作案手法
窃取纽约市一家出租车与停车管理企业管理账户权限
由中央服务器盗取电子信息,盗取过程持续数月
最近开始利用账户信息作案后被发觉
信用卡行业机构和人士3月30日证实,美国信用卡账户信息可能遭“大规模”盗取,涉及万事达和威士国际组织等机构信用卡用户、大型发卡银行和数家主要信用卡服务企业,波及账户数量暂时无法确定,评估数量从数以万计至超过1000万。
博客最先披露
万事达和威士当天知会发卡商,旗下信用卡账户信息可能遭窃,关联一家位于美国的“第三方”公司。
信用卡支付中介机构美国“全球支付”公司确认,未授权者3月初进入它的系统并可能窃取一些信用卡账户信息,公司定于4月2日就这一事件召集投资者电话会议。
万事达、威士和“全球支付”没有说明信息遭窃波及多少账户。
互联网博客“克雷布斯安全”最先披露“全球支付”信息外泄,以“大规模”认定泄露范围,估计超过1000万信用卡账户受波及。一些行业分析师认为这一评估数字过高,推测数以万计账户信息遭窃。
按照伯恩斯坦调研公司分析师罗德·布儒瓦的说法,“全球支付”只是转账中介服务行业相对小型的企业,有大约80万商家客户,占3.5%的市场份额。相比之下,业内最大机构“第一数据”公司商家客户数以百万计,市场份额为22.6%。
房地产业咨询机构阿尔托斯调研公司首席执行官迈克·西蒙森说,他可能是受害者之一。“美国银行”客户代理人上周联系他并告知他的账户受到调查,所幸没有发现未授权交易记录,“这种事非常少见”。
特工处已介入
特工处(隶属于美国国土安全部)等执法机构着手介入这一事件,而万事达已经雇佣一家独立信息安全机构调查。
按照高德纳咨询公司分析师艾维瓦·利坦掌握的消息,系统“侵入点”调查指向纽约市一家出租车与停车管理企业,作案者可能是中美洲犯罪团伙。“如果大家过去几个月用信用卡付过出租车费,请确认信用卡是否被冒用。”
利坦告诉法新社记者,作案人员可能取得那家纽约公司的管理账户权限,由中央服务器盗取电子信息,盗取过程持续数月,最近开始利用账户信息作案后被发觉。博客“克雷布斯安全”3月30日披露,“全球支付”系统在今年1月21日至2月25日、超过一个月的时间内受到入侵。
各家机构没有说明是否已经确认有信用卡用户因这次事件遭受账务损失。不少银行和信用卡服务机构允诺不会让消费者个人承担损失;业内人士说,最终损失由售货商家、发卡方和“全球支付”买单。
可以用于网购
“全球支付”2001年剥离自信息服务商“国民数据公司”,作为商家和信用卡账务处理机构之间的中介核对消费者信用卡认证信息,业务环节介于消费者在商家刷卡和银行转账之间。行业技术人员推断,“全球支付”遭窃信息主要涉及信用卡账户的卡号和有效期截止日,偷窃者可以利用这些信息网上购物。为预防作案者“套现”,在线商家可以要求消费者提供通常印于信用卡卡片背后的三位或四位数字“CVV码”。不少行业人士说,收紧信息认证和信用卡使用便利间存在矛盾。奥列马咨询集团部门主管爱德华·劳伦斯说:“如果(认证)系统太严格,没有交易能够获得认可。”据新华社
■晨报提醒
曾在境外刷卡者
最好改密码或重申新卡
万事达卡和威士卡对中国的影响,在其声明中并未表示出来,似乎这场风波并没有涉及到中国。不过业内人士表示,这并不代表着这场风波对中国的消费者毫无影响。
虽然万事达和威士目前在中国并未独立发卡,都是与银联卡合作发行,所以如果你手中的信用卡是一张双币卡,除了有“银联”标识外,还标注有“Visa”或是“Master”的字样,可能就要注意了。
“如果持卡人曾在国外刷过外币,那么最好更改一下自己的信用卡交易密码,或是先销卡再申请新卡,以防受到此次国际信用卡漏洞的影响。”银率网分析师表示,而对于近期打算出国的持卡人更需注意,在此次漏洞调查清楚之前,在国外刷卡时最好不要选择美国“全球支付”公司(Global Payment)提供的POS机。
晨报记者 姜樊
■新闻延伸
个人账户信息安全问题频发
“全球支付”系统遭侵入是全球今年首起类似事件。花旗银行集团去年6月承认,黑客窃取北美地区大约20万名信用卡客户的信息。索尼公司去年4月通报,全球7700万注册用户个人信息可能被盗。
这些事件推动多国政府和行业机构着眼个人账户信息安全。美国国会众议院商业、制造业和贸易小组委员会成员玛丽·博诺呼吁国会今年出台更严格的个人信息安全法规。“当大家用电脑输入信用卡号码并敲击‘确定’键时,不应只能祈祷(顺利交易)。”
据新华社
(责任编辑:鑫报)