Валентина Скляренко - 50 знаменитых скандалов

В общем, виновник скандала с «Юкосом» отбывает положенное наказание в местах не столь отдаленных, и если политический ветер не изменится, выйдет он оттуда очень не скоро ввиду возникающих в отношении него все новых уголовных дел. А шумиха в обществе, вызванная аферами этого гениального махинатора, не утихает и по сей день.

Карточка Visa

В конце мая — начале июня 2005 года произошел один из самых серьезных скандалов в мире банковских услуг. Крупнейшие платежные системы, в том числе MasterCard и Visa, были вынуждены признать несовершенство своих систем защиты и уязвимость своих баз данных о клиентах перед хакерами.

Использовав недостатки программного обеспечения, хакеры смогли получить доступ к сведениям о 40 миллионах владельцев пластиковых карт.

Первые кредитные карты появились в США в 50-е годы прошлого столетия. Они стали огромным шагом вперед и способствовали совершенствованию системы безналичных банковских платежей. Сегодня пластиковые карточки имеют десятки разновидностей, и трудно представить современного горожанина, ни разу не пользовавшегося хоть одной из них для получения зарплаты, накопления средств или крупных покупок. До недавнего времени считалось, что пластиковые карты не только удобны в использовании, но и безопасны. Рекламные ролики и статьи наперебой описывали их преимущества перед наличными деньгами: весят мало, при потере карточки деньги остаются в целости и сохранности — достаточно позвонить в банк и заблокировать счет. Карточки легко брать в дорогу, а наличные при необходимости можно получить в любом банкомате. В группу риска попадали лишь две категории людей: те, кто вместе с карточкой носил в кошельке бумажку с записанным пин-кодом, и те, кто на свой страх и риск вводил номер и код карточки при покупках в Интернет-магазинах. Остальные считали, что их деньги в полной безопасности. Это гарантировало и новейшее программное обеспечение, и службы безопасности платежных систем, внимательно отслеживающие любые покушения на центры обработки информации.

Конечно, попытки взлома случались — ведь нелегальная торговля крадеными карточками является одной из наиболее надежных статей дохода хакеров. Например, в 2003 году неизвестный злоумышленник взломал счета 2,2 (по другим данным — до восьми) миллиона владельцев карточек Visa и MasterCard. В тот раз представители пострадавших компаний постарались не поднимать шума. Они сообщили только, что преступники действовали через внешний процессинговый центр, название которого осталось тайной (в основном — чтобы не спровоцировать новую атаку). Было сказано, что этот центр обслуживает магазины, расположенные в различных штатах США, а значит, акция хакеров отличается невиданным размахом. Позже журналистам сообщили, что пострадала еще одна крупная платежная система — American Express.

Злоумышленники не воспользовались плодами своей победы над системой безопасности. Они так и не употребили украденные карточки для оплаты покупок. Возможно, испугались последствий: одно дело — получить доступ к клиентской базе и совсем другое — совершить при ее помощи ограбление. Если в первом случае службы безопасности могут ограничиться залатыванием «брешей» в защите, то во втором — взломщиков будут искать долго и тщательно. Однако вполне вероятен и такой вариант: взлом был осуществлен исключительно для демонстрации своих возможностей, для банального самоутверждения. Но и без этого компании понесли огромные финансовые потери, связанные со временным замораживанием счетов клиентов, приостановкой сделок и судебными разбирательствами.

Начиная с 2003 года взломы стали серьезной проблемой безналичной банковской системы. Количество взломанных платежных систем и банков неуклонно росло. Об утечке данных сообщали «Bank of America» и банк «Wachovia», компании по обработке данных «ChoicePoint» и «LexisNexis», а также Калифорнийский университет в Беркли и Стэнфордский университет. А незадолго до скандала с системами MasterCard и Visa компания «CitiFinancial» сообщила, что службой «United Parcel Service» при передаче в кредитное бюро были потеряны ленты с незашифрованной информацией о 3,9 миллиона заказчиков. Но еще ни разу не бывало, чтобы количество потенциальных жертв хакеров достигло десятков миллионов! Главный аналитик «Javelin Strategy & Research» назвал это преступление крупнейшим взломом сети.

Как же случилось, что две самые надежные системы оказались в столь щекотливом положении? И каким образом преступникам удалось воспользоваться закрытой базой данных? Согласно заявлению MasterCard, инцидент произошел в компании «CardSystems Solutions» (Туксон, штат Аризона), которая занимается обработкой платежных данных. Злоумышленник воспользовался уязвимостью нефильтруемой сети «CardSystems» и получил доступ к данным о владельцах карт. Независимая компания «CardSystems» до последнего времени была на хорошем счету. Она уже 15 лет обрабатывала транзакции для банков и торговых организаций, ежегодный объем ее транзакций оценивался в 15 млрд долларов США. Но оказалось, что ее система защиты имеет свои недостатки. Для проникновения в сеть хакеры воспользовались инструментами, которые предназначены для проверки подлинности кредитных карт.

Поначалу сотрудники компании лишь подозревали вероятность похищения данных. 22 мая 2005 года они подали в ФБР заявление о возможном взломе базы данных. Экспертам из ФБР понадобился почти месяц для того, чтобы подтвердить факт кражи. Возникает вопрос: почему сотрудники службы безопасности пропустили момент атаки? Расследование не дало ответа на этот вопрос. Но эксперты выяснили, что главной причиной происшествия стало несовершенство системы безопасности «CardSystems Solutions». ФБР указало руководству компании на то, что все 40 миллионов аккаунтов (банковских счетов) находились практически в открытом доступе, а 200 000 из них точно попали в руки хакеров. В ходе следствия было также выдвинуто предположение, что массовое похищение могло быть организовано при участии сотрудников компании, но подтверждения этому так и не нашли.

Руководству «CardSystems Solutions» осталось только публично признать свою вину. Один из руководителей компании — исполнительный директор Джон Перри — сообщил, что украденные данные хранились неподобающим образом. Правила работы, выработанные системами Visa и MasterCard, по которым должны были удаляться данные клиентов сразу же после совершения транзакций, не раз нарушались. Многие реквизиты сохранялись в базе «в экспериментальных целях». Дело в том, что с их помощью компания хотела выявить ошибки, из-за которых некоторые транзакции оставались в базе помеченными как неавторизованные или незавершенные. Еще одной ошибкой «CardSystems» было хранение данных в «явном виде» в файле, который легко можно экспортировать. Видимо, это и проделали хакеры при помощи внедренной в систему «троянской» программы.