Читаем 50 знаменитых скандалов полностью

Как же случилось, что две самые надежные системы оказались в столь щекотливом положении? И каким образом преступникам удалось воспользоваться закрытой базой данных? Согласно заявлению MasterCard, инцидент произошел в компании «CardSystems Solutions» (Туксон, штат Аризона), которая занимается обработкой платежных данных. Злоумышленник воспользовался уязвимостью нефильтруемой сети «CardSystems» и получил доступ к данным о владельцах карт. Независимая компания «CardSystems» до последнего времени была на хорошем счету. Она уже 15 лет обрабатывала транзакции для банков и торговых организаций, ежегодный объем ее транзакций оценивался в 15 млрд долларов США. Но оказалось, что ее система защиты имеет свои недостатки. Для проникновения в сеть хакеры воспользовались инструментами, которые предназначены для проверки подлинности кредитных карт.

Поначалу сотрудники компании лишь подозревали вероятность похищения данных. 22 мая 2005 года они подали в ФБР заявление о возможном взломе базы данных. Экспертам из ФБР понадобился почти месяц для того, чтобы подтвердить факт кражи. Возникает вопрос: почему сотрудники службы безопасности пропустили момент атаки? Расследование не дало ответа на этот вопрос. Но эксперты выяснили, что главной причиной происшествия стало несовершенство системы безопасности «CardSystems Solutions». ФБР указало руководству компании на то, что все 40 миллионов аккаунтов (банковских счетов) находились практически в открытом доступе, а 200 000 из них точно попали в руки хакеров. В ходе следствия было также выдвинуто предположение, что массовое похищение могло быть организовано при участии сотрудников компании, но подтверждения этому так и не нашли.

Руководству «CardSystems Solutions» осталось только публично признать свою вину. Один из руководителей компании — исполнительный директор Джон Перри — сообщил, что украденные данные хранились неподобающим образом. Правила работы, выработанные системами Visa и MasterCard, по которым должны были удаляться данные клиентов сразу же после совершения транзакций, не раз нарушались. Многие реквизиты сохранялись в базе «в экспериментальных целях». Дело в том, что с их помощью компания хотела выявить ошибки, из-за которых некоторые транзакции оставались в базе помеченными как неавторизованные или незавершенные. Еще одной ошибкой «CardSystems» было хранение данных в «явном виде» в файле, который легко можно экспортировать. Видимо, это и проделали хакеры при помощи внедренной в систему «троянской» программы.

Выводы ФБР и откровенное признание Джона Перри поставили под сомнение надежность «CardSystems Solutions». Представители компании «Visa» сообщили, что прекращают с ней всякие деловые отношения и предложили всем компаниям, сотрудничавшим с фирмой, перейти на обслуживание в другую компанию. Позиция «MasterCard» оказалась менее жесткой. Она лишь временно прекратила партнерство и выразила готовность возобновить его, как только «CardSystems Solutions» усовершенствует свою систему безопасности и представит ее на рассмотрение «MasterCard».

К чести обеих компаний, они предупредили своих клиентов о неприятном инциденте и дали понять, что готовы нести полную ответственность за случившееся. Несмотря на то что взломщики пока не использовали ни одной украденной кредитной карты, они вполне могут сделать это в будущем. Единственная возможность обезвредить «засвеченные» кредитки — их полное переиздание. Если учесть, что стоимость выпуска одной карточки составляет 25 долларов, можно представить финансовую пропасть, в которой окажутся владельцы компаний, если все же придется прибегнуть к этому способу.

Безопасность — не единственная претензия к платежным системам. Многие полагают, что тарифы на обслуживание электронных карт незаслуженно высоки. В 2005 году, вскоре после скандала с утечкой информации о клиентах, фирма «Robins, Kaplan, Miller & Ciresi» подала коллективный иск от имени мелких торговых предприятий против «Visa», «MasterCard» и нескольких банков («Bank of America», «Citibank», «Bank One», «Chase Manhattan Bank», «JP Morgan Chase» и др.). Торговцы потребовали компенсации убытков, вызванных завышенной комиссией. Подобные процессы в последнее время все чаще решаются в пользу истцов.