Американская компания Heartland Payment Systems, занимающаяся обработкой платежей с помощью пластиковых карт, сообщила об обнаружении утечки данных по десяткам миллионов транзакций. Данная утечка является одной из крупнейших в истории, сообщает Washington Post.

Президент Heartland Роберт Болдуин заявил, что первые сообщения о мошеннических действиях с картами MasterCard и Visa, которые использовались в торговых точках, обслуживающихся его компанией, появились в конце прошлого года. Конкретные даты Болдуин не назвал, так что это вполне могло быть и месяц, и три месяца тому назад.

Также Болдуин не назвал конкретные компании, обслуживающиеся Heartland Payment Systems, которых затронула утечка. Мотивировка такова, что таких компаний очень много, и количество скомпрометированных транзакций по любой из них не превышает и десятой процента от общего числа, так что приводить какое-то конкретное название было бы "нечестно". Известно, что около 40% компаний, которые сотрудничают с Heartland, составляют рестораны.

Всё это время над проблемой работали специально нанятые команды специалистов, которые только на прошлой неделе сумели выявить источник утечки. Им оказалась вредоносная программа, внедрённая в процессинговую сеть Heartland. Сколько времени эта зараза болталась в сети, неизвестно, как неизвестно и то, как именно она туда проникла и какое количество данных успела утянуть на сторону. Но в том, что утянула немало, сомневаться не приходится: Heartland ежемесячно обрабатывает порядка 100 миллионов транзакций.

Зато точно известно, какие именно данные эту программу интересовали: номера пластиковых карт, имена их владельцев и даты окончания действия. Дополнительных сведений вроде незашифрованных PIN-кодов, номеров карт социального страхования клиентов, их адресов и телефонов, а также каких-либо данных, относящихся к торговым компаниям, утечка не коснулась.

Это означает, что злоумышленники вряд ли смогут воспользоваться украденной информацией в так называемых условиях "карта-не-присутствует", когда требуется ввод дополнительных данных (т.е., например, при оплате через Интернет). Однако им ничто не мешает изготовить фальшивые карты и пытаться расплачиваться ими (во многих случаях терминалы не требуют ввода PIN-кода). Кроме того, следует иметь в виду, что номера карт соцстрахования и прочая сопутствующая информация то и дело утекают в руки мошенников, и, обладая такими базами данных, можно попытаться сопоставить записи по фамилиям владельцев карт.

Однако, по мнению Болдуина, в данном случае утекло "недостаточно персональных данных", чтобы можно было говорить о необходимости введения программ по защите пострадавших потребителей или защите в связи с "кражей личности". Поэтому всё, что остаётся ему и его компании — это выразить сочувствие пострадавшим, что он и сделал.

Примечательно, что официальное признание утечки произошло в день инаугурации президента США, когда неприятная информация может затеряться в потоке праздничных новостей. Аналитик компании Gartner Авива Литан находит это совпадение "вводящим в заблуждение".

"Это похоже на самую крупную из обнаруженных утечек данных, и они говорят о ней в день инаугурации? — удивляется он. — Я не могу поверить, что они тянули с объявлением до сегодняшнего дня".

Болдуин же утверждает, что всю необходимую информацию в Heartland собирали как раз вплоть до этого самого момента. Он признаёт, что этот день является не самым удачным и что в компании даже подумывали о том, чтобы подождать с признанием ещё сутки, однако решили, что лучше сказать об этом "как можно скорее".