- A+
处理商户与支付卡处理器支付交易的公司Charge Anywhere指出,公司网络被植入恶意软件,可能已经访问了持卡人的未加密敏感信息数据,并且这一恶意活动已长达5年。
该公司在一份声明中发出警告称,公司发送或受到的支付卡信息以明文形式出现,使得攻击者能够对数据进行复制并用于虚假交易中。今年8月17日至9月24日被访问的数据包括姓名、账户号码、有效日期以及验证码,且被访问的数据最早可能可以追溯至2009年11月5日。这是公司聘请一家安全公司调查数据泄露事件时发现的,安全公司的名称并未透露。
令人惊讶的是,一些支付卡信息会以明文形式出现在网络。Charge Anywhere的安全公告为PoS系统遭受攻击敲响了警钟。声明称,公司已经删除了恶意软件,目前正在采取有效安全措施应对安全攻击。声明并未说明,一些交易是否还会包含未加密数据。
Charge Anywhere公司关于支付卡事件的公告(概览)
Charge Anywhere公司在关于支付卡事件的公告中指出,公司在调查中发现,这一恶意软件之前并未被任何杀毒产品发现。目前正在请一家顶级安全公司调查恶意软件是如何被使用的,并且正在出台一些措施来增强公司的网络安全。
调查显示,一个未经授权的个体首先获得访问网络的权限,随后安装了恶意软件用于获取出站网络流量段。很多出站流量是被加密的。然而,某些出站信息的格式及方法允许未经授权的人员捕获流量最终获得访问明文支付卡交易授权请求的权限。最初发现这一恶意软件是在2014年9月22日,它需要大量的调查取证对其进行解码并确定其功能。调查仅明确了包含2014年8月17日至9月24日期间网络流量段的文件。尽管公司仅找到证据证明了这一段时间内的实际网络流量,但入侵者有能力早在2009年11月5日便已开始捕获网络流量。
哪些数据受到了影响?
受此影响的信息是支付卡授权请求内容,包括持卡人姓名、账户名称、有效日期及验证码。Charge Anywhere公布了一个查询工具便于商家查询自己是否受此事件影响。在2009年11月5日至2014年9月24日期间在这些商家使用的支付卡可能受到影响。
持卡人应该做什么?
公告指出,在2009年11月5日至2014年9月24日在这些商家中使用支付卡的个人应当经常审查一下自己的账单是否出现未经授权的活动。一旦有异常情况,联系银行。
商家应当做什么?
公告指出,这一事件并未影响商家所在地的任何系统或设备,也未影响ISO、处理器或其他服务提供商的系统。公司已经从网络上将恶意软件删除。商家交易可正常进行,公司会继续提供支付网关服务。
公司目前的进展情况是什么?
目前,公司已经将恶意软件删除,并且正在与安全公司进行进一步的调查。此外,公司还与信用卡公司、处理器公司、银行合作,将商家信息及在此期间使用过的银行卡号告知银行以方便银行对交易情况进行监控,检测并阻止未经授权的交易。
公告原文请见https://www.chargeanywhere.com/notice/_defaultmerchant.aspx