Στα χέρια χάκερ στοιχεία 15.000 καρτών - Τις αντικαθιστούν οι τράπεζες
Σε σταδιακή αντικατάσταση έως και 15.000 πιστωτικών και χρεωστικών καρτών θα προχωρήσουν άμεσα οι τράπεζες για να εξαλείψουν τις επιπτώσεις της υποκλοπής των στοιχείων πελατών τους που καταγράφηκε σε ταξιδιωτικό πρακτορείο.
Σύμφωνα με ρεπορτάζ της εφημερίδας «Καθημερινή» η υποκλοπή έγινε από ελληνική εταιρεία που δραστηριοποιείται στον χώρο των online πωλήσεων τουριστικών υπηρεσιών (κρατήσεων αεροπορικών, ακτοπλοϊκών εισιτηρίων, ξενοδοχείων, αυτοκινήτων, ταξιδιωτικών ασφαλίσεων).
Μάλιστα, οι τράπεζες υποχρεώθηκαν να λειτουργήσουν προληπτικά και εκτός από την «παρακολούθηση» των εν λόγω καρτών να προχωρούν σταδιακά στην αντικατάστασή τους, ακυρώνοντας όλες τις κάρτες πελατών τους που είχαν ήδη πραγματοποιήσει έστω και μία συναλλαγή κατά το παρελθόν στον ιστότοπο.
Εκτός από το κόστος αντικατάστασης των καρτών, οι τράπεζες έχουν επωμιστεί και το κόστος των όποιων συναλλαγών πραγματοποιήθηκαν, το οποίο δεν επιβαρύνει τους κατόχους των καρτών.
Για το θέμα είναι ενήμερη τόσο η Τράπεζα της Ελλάδος όσο και η Visa και η MasterCard, που έχουν ξεκινήσει έρευνα, ώστε να εντοπίσουν το πώς έγινε η υποκλοπή.
Η έρευνα εντοπίζεται στο εάν η συγκεκριμένη επιχείρηση που έχει έδρα την Ελλάδα τηρεί τους κανόνες PCI DSS. ΣΕ αυτό έχουν συμφωνήσει τα μεγάλα σχήματα καρτών για την ασφάλεια διαχείρισης στοιχείων συναλλαγών με κάρτες, διασφαλίζοντας ότι όλες οι εταιρείες που δέχονται, επεξεργάζονται, αποθηκεύουν ή μεταφέρουν πληροφορίες καρτών λειτουργούν σε ένα ασφαλές περιβάλλον.
Σύμφωνα με την εφημερίδα στον συγκεκριμένο πρότυπο επιτρέπει υπό όρους και σε συγκεκριμένες επιχειρήσεις να κρατούν στοιχεία των καρτών των πελατών τους με την προϋπόθεση ότι διαθέτουν την πιστοποίηση PCI DSS και πάντα για συγκεκριμένο χρονικό διάστημα π.χ. έξι μηνών και όχι για μακρύ χρονικό διάστημα.
Στη βάση αυτή η έρευνα που διεξάγεται και αναμένεται να ολοκληρωθεί στα τέλη Μαρτίου, επικεντρώνεται στο εάν η συγκεκριμένη επιχείρηση είχε τη σχετική πιστοποίηση, η οποία θα πρέπει να διευκρινιστεί ότι επικαιροποιείται κάθε χρόνο. Στον βαθμό που διαθέτει τη σχετική πιστοποίηση η έρευνα θα πρέπει να αναδείξει πώς έγινε η διαρροή των στοιχείων των καρτών.
Όπως αναφέρει το δημοσίευμα, για πληρωμές σε περιβάλλον ηλεκτρονικού εμπορίου (e-commerce), απαιτείται από τον εκδότη της κάρτας (π.χ. τράπεζα, ίδρυμα ηλεκτρονικού χρήματος, κ.λπ.), η ισχυρή ταυτοποίηση του κατόχου της και της συναλλαγής του για πληρωμές σε περιβάλλον ηλεκτρονικού εμπορίου (e-commerce), απαιτείται από τον εκδότη της κάρτας (π.χ. τράπεζα, ίδρυμα ηλεκτρονικού χρήματος, κ.λπ.), η ισχυρή ταυτοποίηση του κατόχου της και της συναλλαγής του.
Η ισχυρή ταυτοποίηση επιτυγχάνεται μόνο αν χρησιμοποιούνται συνδυαστικά παράγοντες ασφαλείας όπως δακτυλικό αποτύπωμα, κωδικοί e-banking, PIN κάρτας, password, μοναδικός κωδικός μιας χρήσης με μήνυμα sms, κ.λπ. Βασικός κανόνας για την ασφάλεια των online πληρωμών είναι η αποφυγή διενέργειας οικονομικών συναλλαγών πλην του προσωπικού υπολογιστή κάποιου, δηλαδή από χώρους στους οποίους έχουν πρόσβαση πολλοί χρήστες (π.χ. internet café). Οι χρήστες του Διαδικτύου για πληρωμές θα πρέπει επίσης να έχουν απενεργοποιημένη τη λειτουργία «Αυτόματης Καταχώρισης» του browser. Η λειτουργία αυτή αποθηκεύει τους κωδικούς στον υπολογιστή, γεγονός που τους καθιστά έκθετους.
Για τους κωδικούς πρόσβασης που χρησιμοποιεί κάποιος για διαδικτυακές συναλλαγές, αναγκαίο είναι:
• Η συχνή αλλαγή τους.
• Η αποφυγή χρήσης της ημερομηνίας γέννησης, του αριθμού τηλεφώνου ή άλλων προσωπικών στοιχείων που μπορούν να βρεθούν και από άλλα έγγραφα.
• Η αποφυγή χρήσης των ίδιων κωδικών σε περισσότερες από μια ιστοσελίδα, κάρτα κ.λπ.
• Η μη δημοσιοποίηση του κωδικού πρόσβασης σε οποιονδήποτε και υπό οποιεσδήποτε περιστάσεις.