אבטחת כרטיסי אשראי - מי תהיה הטרגט הבאה?!

40 מיליון פרטי כרטיסי אשראי וכרטיסי חיוב (Debit) וכ 70 מיליון פרטי לקוחות נגנבו מרשת טרגט, הרשת הקמעונאית הגדולה בארה”ב.

הנקודה המדאיגה ביותר בפריצה לנתוני רשת  טרגט וקמעונאיות אחרות כגון NEIMAN MARCUS בדצמבר האחרון, היא שזו לא היתה הפריצה הראשונה.

התקפה דומה לזו בהיקפיה  קרתה לטארגט וקמעונאיות אחרות עוד בשנת 2005.

זה היה הרגע שאלברט גונזלס ושותפיו, החדירו וירוס דיגיטלי מתוחכם שרץ כשלוש שנים במערכות של הקמעונאיות הגדולות בארה”ב כגון: TJ Maxx , רשת מרכולי Hannaford Brothers, רשת מסעדות דייב & Busters , 7 -Eleven , בארנס אנד נובל , JC Penney  ועוד חצי תריסר קמעונאיות אחרות.  התוצאה הייתה גניבה של למעלה מ 120 מיליון חשבונות כרטיסי אשראי וכרטיסי חיוב מיידי (Debit). גונזלס ושותפיו נתפסו לבסוף, והם מרצים בימים אלו עונש של כ- 20 שנה בכלא, אך הנזק ללקוחות ולבנקים היה קשה מנשוא.

האם לא השתנו שיטות ההגנה על נתוני כרטיסי אשראי ?

ההתקפות האחרונות על טרגט ואחרות מעלות את השאלה המתבקשת כיצד, כמעט עשור לאחר ההתקפה הגדולה של גונזלס ושותפיו, קרתה שוב גניבה גדולה ודומה בהיקפה?
האם לא השתנה דבר בשיטות להגנה על נתוני כרטיסי אשראי?

בפריצה בשנת 2005, טרגט ניזוקה באופן שולי ונגנבו ממנה מספר מוגבל של נתוני כרטיסי אשראי.

הפעם, טרגט תיאלץ לשלם קנסות בסך מיליוני דולרים לחברות כרטיסי האשראי, אם אכן יוכח שהיא לא אבטחה את נתוני כרטיסי האשראי כיאות ובהתאם לתקני התשלום כגון PCI DSS. כמו כן, תצטרך לשלם פיצוי לכלל הבנקים שצריכים להנפיק כעת כרטיסים חדשים לכלל לקוחותיהם. בנוסף, תביעות ייצוגיות כבר נמצאות בתהליך הגשה נגד הרשת והמחוקקים עומדים בתור כדי להפוך את טרגט לדוגמא.

אך, חוסר המזל של טארגט לא צריך להפתיע אף אחד, במיוחד לא את טרגט עצמה. הפריצה ב 2005 הייתה יריית אזהרה וצעדים שיבטיחו שפריצה כזו לא תישנה היו צריכים להינקט. תקני תשלום כגון תקן PCI DSS שנועד להגן על נתוני כרטיסי אשראי של צרכנים, כבר היו קיימים והיה צורך ליישמם.
למרות זאת, חברות קמעונאיות העדיפו להשקיע במערכות טכנולוגיות אחרות שמקדמות מכירות ושירות, והדפו רגולציית תשלום ותיקונים משמעותיים כאלו ואחרים בתואנה שעשו משהו על מנת להגן על הנתונים הללו, בלי שננקטו צעדים משמעותיים.

כרגע, לא הרבה ידוע על האופן שבו התרחשה ההתקפה האחרונה על טרגט, מלבד העובדה שהוחדר וירוס מסוג “תולעת” (Malware) למערכת הקופות של טארגט, כנראה ב 27 בנובמבר לפני חג ההודיה. “התולעת בילתה” כשבועיים במערכת, זוללת את נתוני כרטיסי האשראי וכרטיסי החיוב  – כ40 מיליון נתונים, לפני שהחברה גילתה את נוכחותם -15 בדצמבר.

תקן PCI לשמירת נתוני כרטיסי אשראי בסביבה קמעונאית

מנתונים מתפרסמים עולה כי ההאקרים קיבלו 11 ג’יגה בייט של נתונים שנשאבו לשרת FTP ומשם נשלחו למערכת כלשהי ברוסיה.

לדברי החברה, נתוני הכרטיסים נשאבו מהמערכות של עמדות המכירה (קופות רושמות).

בנוסף, דו”ח שפורסם ביום חמישי על ידי חברת האבטחה iSight , חשף כי הוירוס הזדוני שהושתל שאב מידע מזיכרון ה RAM של הקופה. הדוח ציין כי המבצע היה “ממושך, רחב היקף, מתוחכם ומתוכנן מראש”.

הסברה הרווחת, היא שההתקפה על נתוני הלקוחות של ניימן מרקוס בוצעה ע”י אותה חבורת האקרים, אם כי החברה עדיין לא חשפה את היקף הנזק.. מדיווחים בעיתונות האמריקאית עולה, כי הפריצה קרתה בחודש יולי 2013 ונמשכה כחמישה חודשים, מבלי שיבחינו בכך, עד שהחברה חשפה אותה בחודש דצמבר.

כל זה קרה למרות הדרישה של חברות כרטיסי האשראי לקמעונאים לעמוד בתקן להגנה על כרטיסי אשראי במערכות תוכנה, הלא הוא תקן PCI -DSS (ראשי תיבות של Payment Card Industry Data Security Standard), תקן שנוצר על ידי חברות כרטיסי האשראי הבינלאומיות (ויזה, מסטרקארד, JCB, Discover ואמריקן-אקספרס) כדי להבטיח הגנה על נתוני כרטיסי אשראי בכל סביבה בה הם מאוחסנים, מועברים או מעובדים. התקן כולל דרישות שונות ליישום בקרות אבטחת מידע במטרה ליישם הגנה בארגונים המטפלים בפרטי כרטיסי אשראי באמצעים שונים, כגון קופה רושמת, ארנקים אלקטרוניים, אתרי אינטרנט, מכונות ממכר אוטומטיות וכספומטים.

 גרסה חדשה של התקן שוחררה בנובמבר האחרון והיא קרויה P2PE (Point to Point Encryption) ומתייחסת גם למסופי התשלום המאובטחים כחלק מהפתרון הכולל. זאת עקב גל פריצות שהתרחש בדצמבר 2012 בו נגנבו נתוני כרטיסי אשראי כתוצאה מ”גיהוץ” כרטיסים בקורא המגנטי בקופות ממוחשבות.

החברות העומדות בתקן נדרשות לעמוד בביקורות אבטחה קבועות מחברות צד שלישי (QSA) לאישור התאימות שלהם.

וריפון מציעה פתרון אבטחה לסביבה קמעונאית

בישראל מפעילה וריפון כיום פתרון המושתת על הפרדת התשלום מהתוכנה הקמעונאית באמצעות שילוב של מסוף תשלום חכם מסוג “פינפד” (PIN Pad) המחובר לקופה רושמת בחיבור מאובטח, וכך מונעת העברת מידע רגיש ומלא של כרטיסי אשראי לקופה ולתוכנה הקמעונאית. מסוף התשלום מבצע את העסקה ישירות מול הסולק ומעביר לקופה רק מספר פרטים שאינם נחשבים לפרטים רגישים כגון: 4 הספרות האחרונות והראשונות של כרטיס האשראי, אסמכתת אישור, סכום, תאריך וכו’.

לפרטים נוספים על פתרון וריפון לאבטחת PCI DSS לסביבת קופות רושמות  

חשוב לבצע צעדי מנע מקדימים כגון ניקוי מסדי הנתונים מפרטי כרטיסי אשראי מלאים ועוד.

לפרטים ושאלות נוספות ניתן לפנות לכתובת: marketing_il@verifone.com, או למנהל הלקוח שלכם.