Carte di credito violate: non solo Mastercard.

Di Paolo Attivissimo.

Superficialit e incoscienza gli ingredienti principali della mega-razzia di dati. Coinvolti molti altri operatori oltre a Mastercard
ZEUS News.

www.zeusnews.it.

21-06-2005.

Usarli per rubare i dati di 40 milioni di carte di credito: non ha prezzo.

Ci sono cose che non si possono comprare (come le figuracce di questo genere). Per tutto il resto,  proprio il caso di dirlo, c' Mastercard.

Ma Mastercard non  l'unica societ del suo genere coinvolta nello sconquasso. Secondo il
New York Times,
fra i dati sottratti risultano anche le coordinate delle carte di credito Visa, Citigroup, American Express, Discover e altre. Mastercard  stata semplicemente
la prima ad avere il coraggio di denunciare pubblicamente il trafugamento di dati.

Come  potuta succedere una Caporetto informatica del genere? Molto semplice:  sufficiente approfittare delle incredibili falle nella catena di sicurezza
del trattamento dei dati delle carte di credito e concentrare l'attacco sull'anello pi debole. L'anello pi debole, in questo caso, si chiama
CardSystems Solutions,
una societ statunitense che gestisce l'elaborazione delle transazioni elettroniche fra utenti di carte di credito e venditori per molte delle carte pi
note.

Secondo le ultime dichiarazioni di CardSystems, i conti "compromessi", ossia ai quali l'intruso ha avuto probabile accesso, sono circa 40 milioni, di cui
grosso modo
14 milioni sono Mastercard
e gli altri appartengono ad altre societ. I conti che invece sono stati sicuramente trafugati sono circa 200.000, distribuiti fra le varie marche di carte
di credito (68.000 sono Mastercard, 100.000 sono Visa). Sulla base dei dati disponibili,  presumibile che anche gli utenti italiani delle varie carte
possano essere a rischio, specialmente se hanno effettuato transazioni con societ USA, via Internet o sul territorio statunitense.

E' in corso un'indagine da parte dell'FBI, per cui c' un certo riserbo, ma le informazioni finora rese pubbliche permettono di ricostruire con ragionevole
affidabilit la sconcertante meccanica del disastro. CardSystems conservava senza autorizzazione i dati di alcune transazioni in un file, al quale l'aggressore
ha avuto accesso via Internet, scaricandolo. Secondo John M. Perry, boss di CardSystems, i dati erano conservati "a scopo di ricerca" per capire come mai
alcune transazioni risultavano non autorizzate o non completate. Perry ha dichiarato che adesso, a buoi scappati, non lo faranno pi.

Questo comportamento era in diretta violazione delle norme di sicurezza stabilite da Visa e Mastercard, oltre che dal buon senso, secondo le quali le societ
che elaborano i pagamenti non devono conservare informazioni relative ai titolari delle carte: devono semplicemente passarle alle rispettive banche.

Le medesime norme prevedono che i loro subappaltatori paghino un esperto indipendente certificato, affinch esegua una valutazione annuale della sicurezza;
 obbligatoria anche un'autovalutazione trimestrale, abbinata a test di vulnerabilit della propria rete informatica.

Considerato che CardSystems gestisce oltre 15 miliardi di dollari l'anno di transazioni, questi test non dovrebbero essere economicamente cos insostenibili
da voler giocare al risparmio. Eppure nulla di tutto questo ha funzionato correttamente presso CardSystems, perch la falla  stata scoperta da tutt'altra
fonte: Mastercard stessa, che si  accorta a met aprile che c'era un aumento anomalo degli addebiti fraudolenti sulle proprie carte. Insieme a Visa, ha
lanciato un'indagine che ha permesso di trovare presso CardSystems, a fine maggio, un "programma informatico non autorizzato".

Come se non bastasse questa violazione, il file non era neppure protetto da cifratura, pur includendo dati vitali come il numero della carta e soprattutto
il relativo PIN o CVV (codice di sicurezza). L'ipotesi pi probabile  che l'intruso sia entrato nel sistema CardSystems tramite una errata configurazione
del sito Web della societ.

Mastercard  per il momento l'unica societ emettritrice di carte di credito che ha ammesso che vi sono stati dei casi di frode direttamente connessi al
disastro CardSystems; Visa, invece, sta ancora monitorando la situazione. In ogni caso i titolari delle carte colpite verranno risarciti e tutelati.

E' chiaro a questo punto che ogni titolare di carta, di qualsiasi marca, far bene a sorvegliare attentamente il proprio estratto conto. Ironicamente, chi
ha sempre rifiutato di usare la propria carta di credito su Internet perch temeva frodi  comunque a rischio.

Chi pagher per questa sconcezza? Si
parla
gi di un'ammenda di 500.000 dollari a carico di CardSystems, ma alla fine saranno i venditori a pagare, tramite il prevedibile aumento dei costi di transazione.

La figuraccia  comunque ormai fatta, e il danno alle reputazioni delle societ che si sono appoggiate a subfornitori cos incompetenti non si riparer
tanto facilmente. In questo senso, dispiace notare che mentre
Mastercard USA informa dettagliatamente
dell'accaduto i propri utenti statunitensi, la versione italiana del sito non fa alcuna menzione dell'incidente. Eppure dovrebbe essere evidente che il
primo passo per recuperare credibilit  offrire maggiore trasparenza.

Paolo Attivissimo.

