美國最大的家居建材零售商Home Depot近日承認并證實,自今年4月起至9月初,該公司的支付系統遭到黑客襲擊,在此期間于Home Depot實體店使用信用卡和借記卡購物的美國和加拿大顧客的個人信息和數據將受到影響,信用卡和借記卡存在被不法分子竊取和盜刷的巨大風險。
這是黑客對美國零售商發起的新一輪的攻擊,類似事件還曾發生在美國另一大型零售超市Target身上。去年從感恩節前一天11月27日到12月15日的短短19天時間內,在該店刷過卡顧客的4000萬張信用卡或借記卡數據以及7000萬條諸如顧客地址和電話號碼等的個人信息被盜。去年的感恩、圣誕節購物季期間,高檔百貨公司Neiman Marcus,中餐連鎖店 P.F. Changs 以及專供美容店的美容產品連鎖零售商Sally Beauty也相繼發生過類似事件,但由于受眾面有限而沒有引起廣泛關注。被媒體曝光的零售商只是冰山的一角,根據美國國土安全局預測大約有1000多家美國零售企業遭到類似的黑客襲擊。
顧客銀行卡數據被盜事件給Target造成了1.46億美元的直接經濟損失,以及無法估量的名譽和顧客信任度的損失,該公司的首席執行官也受此牽連被迫辭職。Target也被認為是迄今為止美國零售業發生的最大的銀行卡數據盜竊事件。但Home Depot事件的影響力和破壞力很可能會刷新這一紀錄。Home Depot事件的時間跨度—4月至9月相對較長,而這個時間窗口與美國的房屋銷售和裝修旺季完全重合,由于近期美國房地產市場強勁復蘇,Home Depot曾在8月向投資者和股東宣布其2014年第二季度(4月至6月)“創紀錄的銷售業績”。而Home Depot是世界上最大的零售商之一,在北美就有2200多家實體店,比Target多出400多家。目前Home Depot官方還無法給出受此事件波及的顧客人數和規模等數據。
據專門負責信用卡欺詐調查的執法人員和銀行職員的調查經驗反饋,黑客主要來自東歐國家,而被盜的信用卡和借記卡數據不久就會出現在一些非法的所謂的“信用卡資料論壇”(carding websites)上。在美國,信用卡交易不需要密碼(借記卡相對安全需要密碼才能交易),實體店交易主要認卡主簽名,而網上購物主要認卡號、失效日期和卡片背面三位數的安全碼以及看卡主的姓名和地址,主要是郵政編碼是否和發卡銀行的數據庫數據吻合。于是“信用卡資料論壇”的不法分子便以平均50美元一張卡的價格出售信用卡卡號,失效日期,安全碼,卡主姓名和地址郵編等一整套數據。最早發現Home Depot顧客銀行卡數據被盜的網絡安全博客早在上周三就披露,在一個名叫Rescator的東歐“信用卡資料論壇”上出現大量疑似Home Depot顧客數據,其中99.4%的被盜信用卡的郵編和Home Depot實體店郵編完全重合。由于Home Depot在北美分布廣泛,一般顧客都是到與自己住址郵編相同的實體店就近購物的。
由于筆者近期剛剛搬了新家,于是也在8月間頻繁出入Home Depot,刷卡消費達10余次。上周末、即在Home Depot證實顧客銀行卡數據被盜的消息之前,筆者已經收到兩家銀行發來的email,提示購物記錄顯示筆者的信用卡數據存在安全隱患,要求筆者關注并仔細檢查信用卡消費記錄和對賬單,看有沒有任何可疑的購物活動,一旦發現有可疑和未授權消費立即聯系銀行信用卡欺詐部門。
在美國,銀行卡交易是主流,現金交易只出現在咖啡館,小超市、小餐廳等交易數額較小的場合。銀行ATM機取錢的面值永遠都是20美元,要更大面額的鈔票需要專門去柜臺索取。一般口袋里有大量百元面額大鈔的都是外國人。筆者某同事曾在中西部農業州愛荷華州的超市若無其事地拿出100美元大鈔買單,此舉嚇傻了收銀員小哥,小哥表示他從沒見過百元大鈔,于是喊出了見過市面的大經理才最終完成了交易。美國是世界上最大最活躍的銀行卡交易市場,目前市面上流通著有大約12億張信用卡和借機卡。而就是這個世界上最大最成熟的市場卻仍然沿用著比較落伍的、存在巨大潛在風險的信用卡交易技術—磁條刷卡和用戶簽名加密技術,而歐洲早已大規模推廣所謂的“芯片密碼”(Chip-and-Pin)技術。“芯片密碼”卡片內置有一個可以儲存加密信息的微型芯片,其中包括一個四位數字PIN碼,當顧客想刷卡消費,首先需要輸入PIN碼,這樣芯片就會驗證PIN碼是否正確后再完成交易,大大提高持卡人消費的安全性。Target事件發生之后,Visa和萬事達這兩大信用卡發卡機構就表示將在2015年10月前在美國境內全面用“芯片密碼”卡片替換傳統的磁條卡片。如今的Home Depot事件也許有望加快這一新舊替換的進程。
京公網安備 11010502049343號