Heartland CEO: Kredittkortkryptering er nødvendig

Kreditkorttransaktioner i USA er ofte ikke krypterede, og kreditkortleverandører, betalingsprocessorer og detailhandlere skal omfatte en krypteringsstandard for at beskytte kreditkortnumre, administrerende direktør for en brudt betalingsprocessor sagde mandag.

Kreditkortnumre er ikke nu påkrævet i betalingskortindustrien retningslinjer, der skal krypteres i transit mellem detailhandlere, betalingsprocessorer og kortudstedere, Robert Carr, formand og administrerende direktør for Heartland Payment Systems, fortalte et amerikansk senatudvalg. Heartland i januar annoncerede opdagelsen af ​​et data brud, der efterlod titusinder af kreditkortnumre udsat for en bande hackere.

"Jeg ved nu, at denne industri skal, og kan gøre mere for bedre at beskytte den mod mere og mere sofistikerede metoder, der anvendes af disse cyberkriminelle, "fortalte Carr senatets hjemlandssikkerheds- og regeringsudvalg. "Jeg mener, at det er afgørende at implementere ny teknologi, ikke kun på Heartland, men i hele branchen." Formålet med udvalgets høring var dels at afgøre, om der er behov for ny lovgivning til bekæmpelse af cyberkriminalitet.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Heartland presser for kreditkortindustrien til at vedtage en ende-til-ende krypteringsstandard, sagde han, og selskabet anvender manipulationsresistente terminal-terminaler hos sine medlemsforhandlere. "Vores mål er at helt fjerne betalingskonto numre af kredit- og betalingskort og magnetiske stripe-data, så de aldrig er tilgængelige i et brugbart format i handels- eller processorsystemerne," sagde Carr.

Heartland har bedt kreditkortselskaber om at acceptere krypterede transaktioner, og selskabet har inddraget standard organer og krypteringsleverandører, siger Carr. Virksomheden har også hjulpet til at danne et informationsudvekslingsråd for betalingsprocessorer, hvor virksomhederne kan dele information om trusler, sårbarheder og bedste praksis, sagde han.

"Vi arbejder på disse løsninger, både teknologiske og samarbejdsvillige, fordi Jeg vil ikke have nogen i vores branche eller vores kunder eller deres kunder … at blive offer for disse cyberkriminelle, "sagde han.

Carr gav ikke detaljer om Heartland-overtrædelsen, hvor virksomheden blev kompromitteret i omkring et år og et halvt. Virksomheden forbliver involveret i undersøgelser og retssager, der involverer overtrædelsen, sagde han.

Dog betalte Heartland omkring US $ 32 millioner i første halvdel af 2009 til retsmedicinske undersøgelser, juridiske arbejder og andre omkostninger i forbindelse med overtrædelsen, sagde han.

Senatorer bad Carr nogle spidse spørgsmål om bruddet. Senator Susan Collins, en republikan i Maine, ønskede at vide, hvordan virksomheden kunne blive kompromitteret fra oktober 2006 til maj 2008 uden at opdage overtrædelsen. "Jeg var forbløffet over, hvor lang tid der var gået, hvor disse hackere kunne stjæle disse kreditkortnumre," sagde hun. "Forklar mig, hvordan en overtrædelse af denne størrelse kunne gå uopdaget i så lang tid."

Kortindehavere rapporterede ikke store overtrædelser, svarede Carr. "Måden brud på er normalt opdaget, er at bedrageriske brugen af ​​kort er bestemt," sagde han. "Der var ingen antydning af svigagtig brug af kort, der blev opmærksomt indtil udgangen af ​​2008."

Collins pressede ham yderligere. "Men er der ingen computerprogrammer, som man kan bruge til at kontrollere, om der er sket et indbrud?" spurgte hun.

"Der er, og de cyberkriminelle er meget gode til at maskere sig selv," sagde Carr.

Senator Joe Lieberman, en uafhængig af Connecticut, bad Carr om omfanget af overtrædelsen. Albert Gonzalez fra Miami blev anklaget i New Jersey for tyveri på mere end 130 millioner kredit- og betalingskort, ifølge det amerikanske justitsministerium. Han blev sammen med to unavngivne samkvemere opkrævet ved at bruge SQL-indsprøjtningsangreb til at stjæle kredit- og debetkortoplysninger fra Heartland, 7-Eleven og Hannaford Brothers, en Maine-baseret supermarkedskæde. Gonzalez påtalte sig skyldig i sidste uge for at adskille afgifter i Massachusetts og New York.

Det er for hurtigt at fortælle, hvor mange kreditkortnumre, der blev behandlet af Heartland, blev kompromitteret, sagde Carr. "Vi ved ikke omfanget af bedrageriet på dette tidspunkt," sagde han. "Det er et væsentligt kompromis."