Ellopott bankkártyaadatok

Miközben a MasterCard Europe Magyarországon hétfőn még azt közölte, hogy magyar kártyabirtokosok nem érintettek az amerikai CardSystem Solutionst ért hackertámadásban, az OTP Bank Rt. már telefonon kereste azokat az ügyfeleit, akiknek a kártyaszámát az adatlopás kapcsán éppen a két nagy nemzetközi kártyatársaság, a Mastercard és a Visa adta meg. A banktól kapott tájékoztatás szerint a bankkártyákat a csalások kizárása érdekében azonnal felfüggesztették, így azokkal hétfőtől már nem lehetett vásárolni, viszont a bank állítása szerint a hazai bankjegykiadókból továbbra is lehet velük készpénzt felvenni, mivel az ehhez szükséges PIN kódot nem lopták el. Kedden délig az OTP az érintett ügyfelek 80 százalékát elérte, így ők már értesültek arról, hogy lapocskájuk száma és lejárati ideje idegenek tudomására juthatott.

Semmi sem mutatott azonban arra, hogy az adatokkal vissza is éltek volna, így kár még nem keletkezett. Ha ez mégis bekövetkezne, az ügyfélnek nem kell fizetnie, a kártyakibocsátó bank, illetve a nemzetközi kártyatársaságok állnak jót, a mögöttük lévő biztosítás révén. Az OTP Bank mellett a lapzártánkig nyilvánosságra hozott információk szerint a CIB Bank, a Citibank, a Raiffeisen Bank, a Kereskedelmi és Hitelbank, valamint az Inter-Európa Bank ügyfeleinek kártyaadatai kerültek idegen kézbe, ami jócskán okozhatott kellemetlenséget a klienseknek a bankok elővigyázatossága miatt hirtelen használhatatlanná vált kártya miatt. A letiltásért természetesen nem kell az ügyfélnek fizetnie, és megkezdték a lapocskák díjmentes cseréjét is. A kártyatársaságok közlése szerint az ügyfelek személyes adatai nem sérültek, mivel a lapocskákon nem tárolnak ilyeneket. Banki szakértők szerint a magyar ügyfelek közül azok lettek a kártyaadatlopás áldozatai, akik a plasztikkal külföldi internetes vásárlást bonyolítottak le, vagy azt amerikai kereskedőnél használták.

A nagy amerikai hitelkártya-kibocsátó bankok még kedden is pontosították azoknak az ügyfélszámláknak a körét - és fokozottan figyelték forgalmukat -, amelyek érintettek lehetnek az eddigi legnagyobb, múlt pénteken napvilágra került adatlopási botrányban. A világ második legnagyobb kártyarendszere, a MasterCard International hozta nyilvánosságra, hogy ismeretlenek egy kémszoftver segítségével behatoltak a Georgia állambeli atlantai székhelyű CardSystems Solutions nevű cég számítógépes adatbázisába, ahol mintegy 105 ezer amerikai kis- és közepes kereskedő által lebonyolított kártyatranzakció információit tárolták.

A még május 22-én észlelt akció következtében potenciálisan mintegy 40 millió hitelkártya adataihoz férhettek hozzá - ebből 13,9 millió tartozik a MasterCardhoz, 22 millió a piacvezető Visához, a többin pedig az American Express és a Morgan Stanley brókerházhoz tartozó Discover osztoznak -, és az eddigi ismeretek szerint legalább 200 ezerről töltöttek le részletes információkat, beleértve a kártya számát és a tulajdonos nevét (az Egyesült Államokban összesen csaknem egymilliárd hitel- és debitkártya van forgalomban). Kiderült, hogy a CardSystems a szabályokat megszegve a kereskedők és a bankok közti elszámolás végrehajtását követően a tranzakciós adatokat nem semmisítette meg, hanem "kutatási célból" megtartotta, s ráadásul semmilyen kódolással nem védte azokat.

Az amerikai bankok igyekeztek megnyugtatni aggódó ügyfeleiket, hogy az adatlopás miatti visszaélés nyomán a számlájukon megjelenő terheléseket nem kell kifizetniük. Ez általános gyakorlat a pénzintézetek körében, a tapasztalat ugyanis azt mutatja, hogy az eltulajdonított számlainformációkkal vagy ellopott kártyákkal történő csalások okozta kár kisebb, mint ha az érintett plasztiklapokat darabonként 20-30 dolláros költséggel kicserélnék. A bankok egyébként nem hozzák nyilvánosságra, mekkora az ily módon lenyelt összeg, mint ahogy arról sincsenek pontos adatok, hogy a veszteségek elviselésében milyen a lopott vagy hamis hitelkártyát elfogadó kereskedők részesedése.

Az utóbbi időben megszaporodtak a pénzügyi információk amerikai ellopásáról - illetve elvesztéséről - érkező hírek, amit egyszerre tulajdonítanak az esetek napvilágra hozását előíró új kaliforniai törvénynek, valamint a tolvajok mind célzottabb támadásának. Az adatvadászok által megszerzett információk az interneten kötnek ki, ahol speciálisan erre a feladatra létrehozott - a nyomozó hatóságok adatai alapján főleg a volt Szovjetunió területéről működtetett - honlapokon, valamint chatroomokon keresztül cserélnek gazdát a lenyúlható számlák és kártyák információi. Az efféle feketekereskedelem szervezett és strukturált: egy-egy hitelkártya "ára" függ a rendelkezésre álló hitelkerettől vagy attól, mennyire részletes azonosítók állnak rendelkezésre róla. Az információk viszont gyorsan elavulnak, a leggyakrabban a következő számlakivonat kiküldéséig élnek, egyéb biztonsági intézkedések - mint például a tranzakciónkénti sms-küldés - híján ugyanis ilyenkor szembesül a tulajdonos a gyanús terhelésekkel.