markvp

Carte di credito: dati rubati in tempo reale

Il furto di dati sofferto negli States dalla catena Hannaford ha dell'incredibile. Sottratti in tempo reale, sui POS, durante l'operazione di pagamento. L'azienda denuncia i responsabili per negligenza: nessuno si è accorto di nulla?

Roma - È piuttosto seria la vicenda del furto di dati sofferto dalla catena di supermercati Hannaford, negli Stati Uniti. Ad indagare ci sono i servizi di intelligence.

Non soltanto il malware ha fatto breccia sottraendo oltre 4 milioni di dati delle carte di credito dei clienti, ma nessuno si è accorto né della trasmissione di tali dati all'esterno della rete dei server della catena, né del modo in cui la sottrazione sia avvenuta, in tempo reale, direttamente durante l'operazione di pagamento. La vicenda ha sollevato molta attenzione in quanto - precisa The Globe - il malware ha preso posto su ben 300 server della catena e dei suoi partner, divampando come fuoco sulla paglia.

Dovrebbe essere se non la prima, tra le prime volte in cui i dati vengono sottratti on the fly mentre si paga. Precisi avvertimenti, in materia di generici rischi connessi con i POS, erano stati già condensati da Neal Krawetz di Hacker Factor Solutions in questo documento.
La catena sta portando avanti altre due azioni legali, nelle quali denuncia negligenza nella tutela della sicurezza dei clienti: qualche responsabile avrebbe dovuto accorgersi che i server interni stavano trasmettendo qualcosa fuori della rete, verso uno strano indirizzo IP. Ciò avrebbe dovuto in qualche modo far scattare un minimo di allarme tramite i log dei server, dei firewall o di qualunque altro strumento idoneo.

Marco Valerio Principato

(fonte immagine)
12 Commenti alla Notizia Carte di credito: dati rubati in tempo reale
Ordina
  • Alla faccia di v(f)isco, il vampiro fiscale parto dell'ideologia cattocomunista e del governo prodiveltroni, una ne pensa e 100 ne fa nel rendere impossibile la vita dei cittadini, dei lavoratori, dei contribuenti.

    Alla faccia sua io uso contanti e mi trovo benissimo.

    Ho un borsellino dove metto i contanti condivisi con mia moglie con cui si fanno tutte le spese.
    non+autenticato
  • facciamo tutti gli anni il nostro bravo DPS entro il 31 Marzo, e così scarichiamo ogni responsabilità legale.

    La ricerca di prezzi sempre più bassi e l'oscurità che circonda la gestione della sicurezza delle aziende fanno sì che la gente non si chieda quanto costa fidarsi.

    Fino a quando non ti svuotano il conto corrente.

    E se sono gli istituti di credito che poi rimborsano, c'è da chiedersi come mai proprio loro per primi non pretendano controlli e certificazioni di sicurezza adeguate.
  • Senza considerare che spesso le responsabilità sono scaricate sui dei bravi CoNtRaTtO-A-PrOgEtTo che responsabilità oggettiva non hanno se non in caso di "grave negligenza"...
    H5N1
    1641
  • Beh non è necessario avere una persona dedicata alla gestione dei log, esistono strumenti integrati per il log management anche in Italia e tra la normativa che richiede adempimenti (per esempio la pci compliance) e i carichi di lavoro dei reparti IT la questione si sta facendo pressante anche da noi...
    non+autenticato
  • Qual'è quell'azienda che ad oggi si permette d'avere una persona che si spulcia i log delle connessioni alla ricerca di anomalie?
    Tutti cercano di spendere il meno possibile nel ICT ma la sicurezza con poche risorse non funziona
    non+autenticato
  • - Scritto da: gohan
    > Qual'è quell'azienda che ad oggi si permette
    > d'avere una persona che si spulcia i log delle
    > connessioni alla ricerca di anomalie?
    >
    > Tutti cercano di spendere il meno possibile nel
    > ICT ma la sicurezza con poche risorse non
    > funziona

    Infatti.
    E io ho pure il sospetto che quel codice sia stato inserito da uno dei tanti cococo sottopagati per fare il lavoro.

    Il giorno che impareranno che il programmatore e' l'anello piu' importante della catena sara' sempre troppo tardi!
    non+autenticato
  • Chiamiamolo sistemista...
    H5N1
    1641
  • Beh non è necessario avere una persona dedicata alla gestione dei log, esistono strumenti integrati per il log management anche in Italia e tra la normativa che richiede adempimenti (per esempio la pci compliance) e i carichi di lavoro dei reparti IT la questione si sta facendo pressante anche da noi...
    non+autenticato
  • Niente di nuovo all'orizzonte.
    Meno sofisticato ma uguale tecnica..

    Personaggi appartamenti ad una etnia notoriamente dedita alla clonazione di carte di credito, si nascondono nei bagni di un supermercato per entrare in azione di notte e manomettere in modo impercettibile le apparecchiature POS delle casse.

    Rubati centinaia di numeri di carta + PIN CODE.

    Successo a Brescia. Come in altre città.
    non+autenticato
  • - Scritto da: Nicola
    > Niente di nuovo all'orizzonte.
    > Meno sofisticato ma uguale tecnica..
    >
    > Personaggi appartamenti ad una etnia notoriamente
    > dedita alla clonazione di carte di credito, si
    > nascondono nei bagni di un supermercato per
    > entrare in azione di notte e manomettere in modo
    > impercettibile le apparecchiature POS delle
    > casse.
    >
    > Rubati centinaia di numeri di carta + PIN CODE.
    >
    > Successo a Brescia. Come in altre città.

    E io denuncio la catena di supermercati per non aver custodito con cura i miei dati, come impone la legge.

    Vogliono i pagamenti facilitati per guadagnare di più?
    Ne hanno anche la responsabilità della custodia.
    non+autenticato
  • A me hanno clonato la carta di credito. Al commissariato dove ho fatto denuncia mi hanno detto che non si era trattato di una clonazione classica ma che avevano bucato il sistema informativo di una banca.

    Non so se la notizia fosse vera, almeno nel mio caso era piu' probabile un classico caso di clonazione perche' ho trovato parecchie persone che avevano avuto il mio stesso identico problema (acquisto da una grossa catena distributiva e quindi spese fasulle effettuate in Spagna).

    Ho cambiato carta di credito e bancomat e adesso ne ho una che ha attivi gli allarmi via SMS gratuiti.
    non+autenticato
  • La novità sta nel concetto di "on-line". La clonazione/furto di carta di credito avviene in diversi modi ma questi non si erano limitati e caricare una eprom modificata sul POS. In pratica si sono interfacciati abusivamente sui server di ogni punto vendita che facevano da centro-stella dei POS alle casse.
    non+autenticato