新华网洛杉矶6月22日电(记者陈勇) 由于信息安全漏洞,约4000万个信用卡账户的资料近期落入恶意黑客的“黑手”之中,成为有史以来最严重的信息安全案件。随着美国联邦调查局介入调查,更多的细节被披露。信息安全专家说,这一案件带来的教训值得重视。
此案是18日由《洛杉矶时报》等媒体首先披露的。报道说,万事达卡公司近期接到成千上万用户报告信用卡账户有不正常的盗用消费,于是聘请了信息安全公司调查。专家发现,漏洞出在为万事达、维萨和美国运通卡等主要信用卡进行数据处理服务的“卡系统”公司,它的网络上被恶意黑客植入了木马程序。
“卡系统”公司负责审核商家传来的消费者信用卡号码、有效期和验证码等信息,审核后再传送给银行完成付款手续。这家公司最近处理的4000万信用卡账户的号码和有效期等已被木马程序“一览无余”,其中包括2200万个维萨卡帐户、1390万个万事达卡账户。安全专家确信,迄今已有20万个账户的信息已被转移出去,可能被恶意黑客出售或盗用消费,因此处于“高度危险”状态。
来自香港金融管理部门的消息指出,这20万个账户中还包括香港地区近2万名维萨和万事达卡用户的资料。香港金融管理局总裁任志刚21日表示,目前暂未发现任何用户的资料被盗用。专家指出,在网络发达的今天,发生在美国的这次失密案影响力和破坏力甚大,超过了类似的传统失密事件。
美《计算机周刊》发表文章认为,这一案件的主要原因是“卡系统”公司的信息安全措施不到位。信息安全专家说,这家公司为超过10万家企业处理信用卡信息,每年业务金额超过150亿美元,理应经常进行数据安全检查,但这一措施明显被疏忽了,直到专业的信息安全公司介入,才发现这个并不算隐秘的木马程序。
此外,这家公司违反数据安全规定留下隐患。万事达卡公司等信用卡发行机构,要求“卡系统”公司处理的数据不得过夜保存,但这家公司为进行市场研究,自己保存了所有经手的账户信息,而且这些数据不加密、不保护就存储在公司电脑中。公司的网络建立在经常暴露出安全漏洞的“视窗2000”操作系统之上,也没有及时更新升级。这都让恶意黑客有机可乘。
而在这些技术性漏洞背后,是一些企业对信息安全的忽视和侥幸心理。阿拉丁软件安全公司副总裁格鲁伯说,盗窃信用卡号等黑客攻击比去年同期增加了150%。以金融欺诈为目的的恶意黑客可以长期耐心“盯”着类似“卡系统”公司的高价值目标,一旦发现安全漏洞就渗透。而总有企业认为黑客攻击离自己还很遥远,也不特意加强数据安全措施,一旦被黑客盯上造成的损失就很惨重。
如今用黑客手段盗窃信用卡号的犯罪活动非常猖獗。据《纽约时报》报道,在网络聊天室、BBS里买卖信用卡信息的“网上黑市”生意非常兴旺,但由于这些服务器大都设在美国境外,美国执法人员难以深入调查。
即使在美国国内,保护信息安全的法律也不够完善,对恶意黑客缺乏威慑。美国“信息安全工业联盟”的一项抽样调查结果显示,97%的人认为窃取信用卡号码等“认证盗窃”值得重视,67%的人认为政府应该做得更多。由RSA信息安全公司进行的另一项调查中,80%的高级专业人士认为保护数据安全的立法还很不够。在某种程度上,这可能也是“认证盗窃”屡屡发生的原因之一。