Obchodníci kvůli ukradeným platebním kartám platí stamiliony

Albert Ryba | 20.12.2013 | Analýzy, Bezpečnost | Žádné komentáře

Útoky na obchodníky, které mají za cíl získání údajů z platebních karet jejich zákazníků, se stále vyvíjejí a zdokonalují. Jedním z lákavých cílů jsou dnes přitom nejen e-shopy, ale i velké a renomované obchodní řetězce, v nichž nakupují široké masy lidí. Náklady na úniky jsou přitom enormní, protože je do nich potřeba započítat výdaje nejen na krizové řešení situace, ale i na dlouhodobé sanace, odškodnění klientů, pokuty a poplatky finančním institucím či právní výlohy. Nic z toho přitom nejsou malé částky.

Nejnovějším příkladem je sofistikovaný útok na americký obchodní řetězec Target. Ten tento týden potvrdil, že se stal obětí útoku hackerů, kteří odcizili údaje o kreditních a debitních kartách jejích zákazníků, včetně dat expirace a bezpečnostních kódů – a i když Target nezveřejnil konkrétní počet ukradených záznamů, analytici hovoří o zhruba 40 milionech. Šlo by tak o jeden z největších úniků dat tohoto typu za poslední roky a postiženi byli zákazníci Targetu, kteří platili v obchodech této společnosti kartou mezi 27. listopadem a 15. prosincem 2013.

Poslední útok podobného rozsahu byl proveden v roce 2009 na společnost Hartland, kdy bylo ukradeno zhruba 100 milionů záznamů platebních karet. Hartland celkově vyčíslil výdaje spojené s únikem na 140 milionů dolarů.

Podle dosavadních zjištění v případě Targetu infikovali útočníci malwarem platební bránu prodejce (POS) a mohli tak získat data ze všech plateb uskutečněných přes terminály v rámci obchodů Targetu napříč celými Spojenými státy. Pokud se tato teorie skutečně potvrdí, bude to podle bezpečnostních expertů otevření nové fronty ve válce s kyberútočníky a pro nakupující jde o definitivní vystřízlivění z hlediska toho, že platby kartami v obchodech mohou být bezpečné.

Náklady spojené s řešením úniku

Prvním krokem pro napadenou společnost je vždy odstranění problému. Vzhledem k tomu, že jde o akutní věc, obvykle na to musí přizvat externí odborníky, kteří jí pomohou situaci zvládnout. Cena za jejich práci je ovšem vždy jen začátkem a zlomkem veškerých nákladů. Dalším krokem je pak vyšetřování toho, co se přesně stalo. Případ Targetu není samozřejmě zatím uzavřený a další detaily ještě mohou vyplynout na povrch, nicméně jedno je už jisté – další spousta výdajů, které nyní Target čekají.

I když platební systém Targetu splňoval standardy PCI DSS (Payment Card Industry Data Security Standard), Avivah Litanová, analytička Gartneru je přesvědčena, že se společnost nevyhne pokutám asociacím vydávajícím platební karty, jako jsou Visa a MasterCard. Target bude muset dále kompenzovat výdaje bankám spojené s rušením kompromitovaných karet, případných neautorizovaných plateb z nich a se zasláním nových karet klientům. A bude čekat na to, jaké žaloby se sejdou.

Výdaje dosahují enormních částek

Již zmíněný případ Hartlandu poměrně jasně ukazuje, jaké částky z celkových 140 milionů dolarů nákladů bylo potřeba vydat na jednotlivé kroky, které následovaly po úniku. Více než 26 milionů dolarů padlo na právní poplatky. Následná vyrovnání s vydavateli platebních karet činila 60 milionů dolarů pro asociaci Visa a 3,5 milionu pro American Express. Dalších 42,8 milionů dolarů pak bylo vydáno v důsledku soudních sporů souvisejících s únikem informací o platebních kartách.

S únikem dat o platebních kartách zákazníků má zkušenost i společnost TJX, která se do podobné situace dostala v roce 2006. V jejím případě se celkové náklady vyšplhaly na ohromující sumu 250 milionů dolarů, která zahrnovala sanační náklady, vypořádání bankovních pohledávek, služby monitorování finančních toků obětí, soudní poplatky a pokuty. Celkem bylo v tomto případě kompromitováno 45 milionů kreditních a platebních karet.

Dalším příkladem může být americký specializovaný prodejce obuvi a sportovního oblečení Genesco, který si ve svém případě stěžuje na to, že udělené pokuty byly nepřiměřené a podle právních předpisů na ně neměly asociace vydávající platební karty nárok. Společnost se stala cílem útoku v roce 2010 a byly jí odcizeny údaje milionů platebních karet, přičemž finanční instituce jí vyměřily pokutu ve výši 13,3 milionu dolarů. Genesco se dodnes o výši pokuty soudí a očekává se, že verdikt by měl padnout v červenci roku 2014.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


− šest = nula

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz