Doszło do naruszenia danych karty kredytowej American Express, w wyniku którego hakerzy uzyskali informacje od anonimowego, zewnętrznego podmiotu przetwarzającego dane karty kredytowej. Nie wiadomo jeszcze, ilu klientów dotyczy problem, ale w wyniku naruszenia wyciekły numery kart American Express, nazwiska członków i daty ważności kart.
Nieznanym hakerom udało się zaatakować jeden z zewnętrznych procesorów handlowych firmy kredytowej American Express, kradnąc istotne dane PCI (branży kart płatniczych), takie jak informacje o karcie kredytowej i nazwiska posiadaczy kart. W niedawnym zgłoszeniu naruszenia bezpieczeństwa danych złożonym w stanie Massachusetts firma stwierdziła, że „dowiedziała się, że zewnętrzny usługodawca zaangażowany przez wielu sprzedawców doświadczył nieautoryzowanego dostępu do jej systemu”.
Advertisement
W piśmie, które brzmi bardziej jak kurtuazyjne zawiadomienie, American Express odwołuje się do problemu, ale firma jasno stwierdza, że to nie jej własne serwery zostały naruszone, ale system, który nie jest własnością American Express lub jest przez nią kontrolowany.
Z drugiej strony American Express twierdzi, że zaalarmował organy regulacyjne i aktywnie monitoruje konta użytkowników pod kątem oszustw. W przypadku poniesienia jakichkolwiek podejrzanych lub oszukańczych opłat członkowie nie ponoszą odpowiedzialności. Firma sugeruje również, aby posiadacze kart logowali się na swoje konta, aby przejrzeć wyciągi pod kątem wszelkich nietypowych działań i szybko skontaktować się z służbami ochrony przed oszustwami w celu uzyskania pomocy.
Szczegóły tego nie zostały oficjalnie ujawnione podać, jaki podmiot przetwarzający akceptanta był zaangażowany w naruszenie, kiedy to nastąpiło i ilu członków karty zostało dotkniętych. Faktem jest, że tego typu naruszenia bezpieczeństwa danych zdarzają się częściej niż kiedykolwiek wcześniej, mamy więc nadzieję, że instytucje finansowe, takie jak American Express, podejmą działania, na przykład przemyślą i będą inwestować więcej, aby zabezpieczyć informacje PCI swoich klientów. W tym scenariuszu, chociaż celem ataku był procesor strony trzeciej, zgodnie ze standardem PCI DSS (Payment Card Industry Data Security Standard), firma American Express, jako jedyny właściciel tych danych, jest częścią tego łańcucha informacji.