כל מה שרציתם לדעת בפרשת הסחיטה החמורה בלאומי קארד

מה המידע שנגנב מחברת לאומי קארד? מהן השאלות הקשות שעולות מהפריצה? ומה היה קורה אם הפרטים של כרטיסי האשראי היו מתפרסמים?

מה המידע שנגנב מחברת לאומי קארד?

ככל הידוע, המידע שנגנב מלאומי קארד כולל מספרים של כרטיסי אשראי, מספרי תעודות זהות של הלקוחות ותוקף הכרטיס.

מהן השאלות הקשות שעולות מהפריצה?

העובדים לשעבר שנעצרו עבדו במוקד שירות הלקוחות של לאומי קארד. ראשית, כיצד עובדים זוטרים נחשפו למאגר נתונים כה רחב? כמו כן, עולה השאלה מדוע הגישה לאותם קבצים לא נוטרה ואותרה – האם מכיוון שהיה מעורב גם עובד עם הרשאה לקבצים, או שהעובדים הצליחו לנטרל את מערכות ההתראה, או שמערכת ההתראה לא פעלה כנדרש? שאלה נוספת היא כיצד הצליחו העובדים להוציא החוצה את הנתונים, הואיל וככל הידוע לא ניתן להוציא מידע ממחשבים של גופים פיננסיים במדיה חיצונית כגון צריבת דיסק או דיסק און-קי.

מה היה קורה אם הפרטים של כרטיסי האשראי היו מתפרסמים?

ראשית, אין ספק כי מדובר בנזק תדמיתי חמור ביותר ללאומי קארד. עם זאת, ככל הידוע קיים סיכוי קלוש כי ניתן היה לגנוב כספים מלקוחות החברה. הסיבה לכך היא שהנתונים שנגנבו הם מספר כרטיס אשראי ומספר תעודות זהות של הלקוחות. עם נתונים שכאלה ניתן לעשות סוג מוגבל מאד של עסקאות, כגון הזמנת פיצה בטלפון. לצורך ביצוע רכישות באינטרנט, כמעט תמיד יש צורך בקוד ה-CVV (קוד הביטחון), ולצורך זיוף כרטיסים נדרש הפס המגנטי – שני נתונים שלא היו בידי הפורצים.

האם ניתן לגנוב את קוד ה-CVV?

ברוך אלפיה, לשעבר מנהל סיכונים ראשי בכאל ויועץ בכיר לויזה העולמית, מסביר כי מדובר במשימה כמעט בלתי אפשרית, לגנוב את קוד ה-CVV ממאגרי חברת כרטיסי האשראי. "נתונים אלה אינם נשמרים באף מאגר בחברת כרטיסי האשראי", מסביר אלפיה. "הנתונים מחושבים בכל עסקה מחדש באמצעות קופסה הנקראת HSM. קופסה זו מחשבת מחדש בכל פעם האם קוד ה-CVV שהוקש נכון, ולאחר מכן התשובה נמחקת. הנוסחה המתמטית לחישוב הקוד מתבססת על מספר הכרטיס, על נתונים במאגר החברה וכן על גישה לנתונים בקופסה. רק ל-2-3 אנשים בחברת כרטיסי האשראי יש גישה אל הקופסה, ונדרשת פעולה משותפת שלהם אליה בכדי להגיע אל הקופסה. על כן יש סבירות גבוהה מאוד שבפריצה הנוכחית לא ניתן היה לעשות עסקאות בכרטיסי אשראי".

תגובות

כתיבת תגובה

האימייל לא יוצג באתר.