ארה"ב: האקרים גנבו כ-46 מיליון מספרי כרטיסי אשראי
חברת TJX האמירקנית הודיעה כי האקרים, שזהותם עדיין לא ידועה, הצליחו לחדור למחשבי החברה ולגנוב מידע על רכישות וכרטיסי אשראי, בפרשת פירצת האבטחה הגדולה ביותר
האקר, או קבוצה של האקרים הצליחו לגנוב כ-45.7 מיליון מספרי כרטיסי אשראי מחברת TJX, המפעילה רשתות קניה מוזלות בארה"ב כמו TJ-Maxx – זוהי הדליפה הגדולה ביותר של מידע של צרכנים. בעקבות המקרה, החברה צפויה לחקירה של ועדת המסחר האמריקנית ולתביעות בגין רשלנות על שמירה לא הדוקה מספיק של המידע.
החברה: תוקפם של רוב הכרטיסים פג
המידע שנגנב מכיל פרטים על רכישות שבוצעו החל מחודש ינואר ועד ה-23 בנובמבר 2003, כך הודיעה חברת TJX בדו"ח שהגישה לרשות האמריקנית לניירות ערך (SEC). החברה לא מסרה הערכה על מידע שנגנב בחודשים שלאחר מכן.
החברה הודיעה גם כי יתכן וההאקרים הצליחו להשיג מספרי כרטיסים בשלב אישור העסקאות מול חברות האשראי, תהליך בו המספרים לא מוצפנים, ושנגנבו גם כ-455,000 מספרי רשיונות נהיגה של לקוחות שהחזירו מוצרים ללא קבלות.
בחברה מנסים להרגיע והודיעו כי בכ-75% מהרשומות שנגנבו מדובר בכרטיסי אשראי שתוקפם פג, או במידע שאינו כולל את קוד האבטחה של כרטיס האשראי. על פי החברה, החל מספטמבר 2003, המספרים הללו מוסתרים על ידי כוכביות ברישומים במחשבי החברה.
“לא ברור איזה מידע על לקוחות ורכישות נמחק ממאגרי החברה, לא ברור למי הייתה גישה למידע, ולא ברור אם המידע היה מוצפן", אומר דיפאק טנייה, המייעץ לחברות בתחום אבטחת מידע, “אז קשה לדעת מה היקף הבעיה".
המקרה הוביל בנקים להנפיק ללקוחות כרטיסי אשראי חדשים, על מנת למנוע הונאות נוספות מעבר לאלו שנתגלו בארה"ב וברחבי העולם כולל שוודיה והונג קונג, כך על פי איגוד הבנקים של מדינת מסצ'וסטס שעוקב אחרי הדיווחים על הונאות הקשורות למקרה ולחברת TJX, הממוקמת במדינה.
טרם נתפסו חשודים
חברת TJX לא יודעת אם מדובר בהאקר שפעל לבדו, או בקבוצה של האקרים, ובכל מקרה זהותם של הפורצים עדיין לא ידועה. העצורים היחידם בפרשה הם עשרה אנשים שחשודים ברכישת מידע מההאקרים על תלושי קניה, במטרה לקנות סחורה בחנויות החברה במחיר מוזל. משטרת העיירה גיינסוויל שבמדינת פלורידה מסרה כי החבורה קנתה מוצרים בשווי של יותר ממיליון דולר בחנויות Wal-Mart במדינה.
במקרה הגדול הקודם בו נגנבו מספרי כרטיסי אשראי, ביוני 2005, חברה סליקה בשם CardSystems הודיעה כי האקרים הצליחו לגשת למידע של כ-40 מיליון מחזיקי כרטיסי אשראי.
“המקרה של TJX ככל הנראה ישמש מקרה מבחן של חברות אבטחת מידע ותלמידי מנהל עסקים לשנים הקרובות", אמרה בת' גיוונס, המנהלת ארגון להגנה על צרכנים, “המקרה הזה יכול להיחשב כתרחיש הגרוע ביותר". סיבה אחת לכך, היא אומרת, היא שלהאקרים הייתה גם גישה לתוכנה פיענוח ההצפנה של TJX.
גילתה את הפירצה רק לאחר למעלה משנה
"יש מידע רב שאנחנו לא יודעים על אודותיו, ויתכן גם שלעולם לא נדע, ולכן על החקירה להיות מאומצת", אומרת דוברת החברה, שרי לאנג.
ב-TJX אמרו כי מחשביהם נפרצו לראשונה ביולי 2005, ושההאקרים השיגו מידע על עסקאות שבוצעו החל מתחילת 2003. החברה לא שמה לב לפריצה עד לחודש דצמבר האחרון, אז הבחינה ב"תוכנה חשודה על מערכות המחשוב".
החברה שכרה חוקרים חיצוניים והודיעה לרשויות על המקרה לפני שהוציאה הודעה לתקשורת בחודש ינואר השנה. העיכוב בהודעה, על פי החברה, היה על מנת לאפשר לחברה לצמצם את הנזק ככל האפשר.
לאנג אמרה כי כי כל המידע הגנוב על רכישות מנובמבר 2003 ועד יוני 2004 נמחק, ושהחברה בודקת מדוע המידע מ-2003 לא נמחק באופן שגרתי.
לפנייה לכתב/ת 
