签帐卡安全机制遭到破解,据业界刊物American Banker估计已让窃贼取得多达60万个银行账户资料,连带牵扯出更大的问题:究竟商家该怎么储存客户的个人数据为妥?
安全专家指出,问题出在如何储存与签帐卡对号入座的PIN资料。这么多笔PIN数据遭窃,显示某家全国性的零售商擅自储存客户的数据,但这种作法是各大信用卡公司禁止的。安全分析师说,这起事件暴露出,PIN的防护措施可能是信用卡安全机制当中最脆弱的一环。
Jupiter Research金融服务业分析师Edward Kountz说:「长久以来,PIN码的认证过程一直被视为安全无虞,但这些窃案暴露出实际上却不是这么回事。」
最近信用卡犯罪案猖獗,影响范围从西雅图一路扩及北卡罗莱纳州。过去一个月来,媒体关注的焦点大多集中在哪些公司在安全入侵事件中首当其冲。执法人员说, 许多受害者都到过办公室用品连锁商店OfficeMax消费。但这家总部在伊利诺伊州Itasca市的公司否认发生入侵事件,并表示独立的稽查结果发现安全 防护未出问题,只说会继续配合主管当局调查。
过去两周以来,纽泽西州的执法人员已逮捕14名涉案人士。哈德森郡的检察官Edward DeFazio说,这些嫌疑犯都是美国公民,被控用偷来的信用卡和签帐卡数据制造伪卡,再仿冒身分刷卡消费,或从持卡人的账户提领现金。
但在联邦调查局(FBI)与特勤局干员持续追查此案的同时,令安全专家开始担心的,不是已经发生的事,而是类似的犯罪事件未来还会不会重演。
的确,个人密码失窃案可能象征计算机犯罪进入新纪元。Gartner资安分析师Avivah Litan说:「这起事件的教训是,有数百家公司私自储存PIN数据。」
Litan指出,大多数零售商采用同样的技术,也大致依循相同的程序。
他说,在大多数的零售商店,收款机把数据传入「终端控制器」(terminal controller),其作用就像一部主服务器(master computer server)。终端控制器把每台收款机传来的数据加密,有些商店用的加密「金钥」(key)也存在终端控制器里。但这么做,可谓对成功侵入电子系统者大 开便利之门,因为他们如此一来就能凭这些钥匙打开加密锁,偷走资料。
根据由威士忌公司(Visa)订定、且获各大信用卡发卡业者普遍遵行的「付款卡行业数据安全标准」第3.2.3条,商家是不准储存加密锁钥的。违规的店家可能遭到罚款处分。然而,店家有可能因为疏失,而在不知情的状况下取得并储存客户的数据。
Litan说:「某家商店的管理者可能把数据储存起来却不自知。数据可能埋藏在旧的软件里。」
American Banker的报导引述匿名消息来源的话说,资安专家普遍接受的一种理论是,黑客可能先从某连锁零售商设在美国西岸与东南部的30个门市下手,先闯入这些门市的计算机系统,然后取得信用卡磁条、PIN和PIN钥匙的数据。
不过,监控ATM伪卡交易的Fair Isaac公司伪造技术业务经理Mike Urban说,只凭一起PIN码窃案,即使影响成千上万名消费者,并不表示目前的系统安全防护全面瓦解。
Urban说:「我不确定这个问题的影响层面有多广。这一行最重要的是依标准程序行事,落实正确的安全制度。这类事件当然可能再发生。但我要说的是,在此之前,这种事以前很少听说过。