据港台媒体报道,日前美国爆发信用卡资料处理公司CardSystems Solutions, Inc的4,000万笔信用卡资料外泄事件,堪称美国信用卡史上最大事件,其中VISA卡(威士卡)被盗2,200万笔,Master卡(万事达卡)被盗1,390万笔,还包括美国运通卡(American Express)与探索卡(Discover),被盗的资料内容包括有信用卡号码、到期日及卡主姓名。虽说外泄部份主要是以美国区用户为主,但是其他区域一样受到波及,台湾地区区有1.6万名用户,新加坡与香港各约有1万名。
就万事达卡与VISA卡的官方说法,由于CardSystems违反处理程序,将持卡人的帐号与控制用安全内码储存在该公司电脑系统当中,当骇客入侵的时候,才会能取得信用卡号码与相关资料。
为何CardSystems会有信用卡主相关资料?因为CardSystems是处理商家信用卡消费清偿公司,当持卡人刷卡付款时,卡上的内部资料会传送到这类公司取得授权之后,然后获得授权核可码,确认该笔交易可正常执行。由于被盗的部份信用卡内外码已经外泄,因此最快的解决之道,就是暂停部份信用卡的交易,通过更换信用卡的方式来解决。
姑且不论这次CardSystems信用卡号码被盗事件的后续问题要如何处理,不少银行厂商对于此一事件纷纷表示处理程序异常是爆发此次事件的关键。因为在信用卡交易当中,清偿厂商不应储存信用卡的内外码与到期日,最多只能够储存授权序号与交易内容,完整的交易资料,只能储存在信用卡发卡银行的资料库当中。CardSystems违反此一工作原则,种下资料被盗的风险与隐忧。
而程序资料传送控制异常也是CardSystems事件的主因之一。根据熟悉信用卡部门内部运作的专业人士表示,一个安全的银行内部用电脑环境,除了相关系统更新套件与防毒软件都要安装到最新版本之外,电脑内部程序资料流向也是要接受控管的,程序没有经过许可,不得安装与执行,更遑论将资料传送到未经许可的远端电脑。因此CardSystems会有骇客入侵资料外泄的事件,其实是该公司内部电脑的控管上不够严谨,没有达到电脑专用的要求。
除此之外,CardSystems没有严格执行内外网双向控制网络原则,也是资料严重外泄的因素之一。也就是说,只要公司网络方面确保资料流向完全符合标准工作流程,不管是骇客入侵或者是内部员工搞鬼,都能够降低资料外泄风险。因为当机密资料无法通过联外网络向外传送的时候,网络骇客就没有可发挥的空间,只要同步限制内部员工夹带资料问题,便可大幅降低资料外泄的机会。
