Saturday, June 18, 2005

CardSystems Solutions Intrusion Exposes 40 Million Credit Cards

I am stunned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scale of this story, and I expect to hear it get worse. Yesterday MasterCard International issued a statement that said

"MasterCard International reported today that it is notifying its member financial institutions of a breach of payment card data, which potentially exposed more than 40 million cards of all brands to fraud, of which approximately 13.9 million are MasterCard-branded cards.

MasterCard International's team of security experts identified that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach occurred at Tuscon-based CardSystems Solutions, Inc., a third-party processor of payment card data."

This AP story mentions "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security breach involves a computer virus that captured customer data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of fraud" and MasterCard "did not know how a virus-like computer script that captured customer data got into CardSystems' network, which MasterCard said was infiltrated by an unauthorized individual."

The same AP story reports that CardSystems did not expect MasterCard to report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news:

"'We were absolutely blindsided by a press release by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 association,' CardSystems' chief financial officer, Michael A. Brady, told The Associated Press when reached on his cell phone."

CardSystems own press release implies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud by saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"CardSystems Solutions, Inc., identified a potential security incident on Sunday, May 22nd. On Monday, May 23rd, CardSystems contacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Bureau of Investigation. Subsequently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VISA and MasterCard Card Associations were notified to alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m of a possible security incident."

While researching this event, I found a story from over two years ago that sounds very similar:

"Information was stolen from more than 2.2 million MasterCard International accounts and approximately 3.4 million Visa USA cardholder accounts, according to those companies.

The cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft occurred when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system of a company that processes credit card transactions for merchants was broken into.

Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Visa nor MasterCard would identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that was hacked, nor would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide information on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft occurred, citing security concerns."

I imagine MasterCard learned from that event and decided to go public now as a form of damage control.

I agree with this comment in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MasterCard press release:

"While Congress continues to consider data breach notification standards, MasterCard urges cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to enact wider application of Gramm-Leach-Bliley, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act that includes provisions to protect consumers' personal financial information held by financial institutions.

Currently, GLBA only applies to financial institutions providing services to consumers, including MasterCard. MasterCard urges Congress to extend that application to also include any entity, such as third party processors, that stores consumer financial information, regardless of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y interact directly with consumers."

1 comment:

Anonymous said...

"While Congress continues to consider data breach notification standards, MasterCard urges cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to enact wider application of Gramm-Leach-Bliley, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act that includes provisions to protect consumers' personal financial information held by financial institutions.

Up until a little over a year ago, I worked in an FTE position for a company that would fall under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expanded GLBA, if it were expanded. Given that I was assigned to address and respond to questionnaires from our customers, I can say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expansion will be a pretty pointless exercise, and a complete waste of time and money.

These "provisions" usually amount to questionnaires, and little more.

These questionnaires come down from auditors, be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y members of our customer's organizations, outside third parties hired by our customers, or simply independent auditors. Some questionnaires are more thorough than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, and some simply have more thought put into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. However, in many cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions simply do not fit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, b/c many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m do not apply at all to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audited company does business. To those who put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questionnaires togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r...one size does not fit all.

More often than not, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves have no expertise in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area(s) covered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questionnaire. If a section covers HR or IT, most times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor has no background in eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r area, and is simply a recent college grad who is sent on-site, and has no experience to dig deeper.

Questions, particularly in IT, are not followed up on. For example, one question was, "Do you require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of strong passwords?" The response from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT dept was "yes", even though I was fully aware that passfilt.dll was not implemented on any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain controllers. So "require" is open to interpretation now? There were no technical requirements in place, nor were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any written policies...it was just something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT dept liked to encourage. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor did not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical experience to question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response, or to simply say "show me".

In my experience, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses that left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company I worked for were based not on reality, but on what senior management felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor wanted to hear, knowing full well that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor would not dig any furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

So...in a nutshell...I have to really wonder what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "provisions" would be. These laws and acts can use words like "requirements" and "audit", but without any real teeth, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're simply pointless and a waste of time. And as long as infrastructures and processes within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se financial processing companies are designed with security as an afterthought, or simply without security, such incidents will continue to occur.

H. Carvey
"Windows Forensics and Incident Recovery"
http://www.windows-ir.com
http://windowsir.blogspot.com