Z firmy Global Payments, która obsługuje transakcje kartami kredytowymi, hakerzy wykradli dane dotyczące około 1,5 miliona kart kredytowych. Problem dotyczy głównie USA, ale ofiarami ataku mogą stać się też osoby z innych państw, tak jak jedna z naszych Czytelniczek. Do kogo się zgłosić, kiedy już sprytny haker wyczyści nam konto?
Atak na Global Payments to jedno z największych takich przestępstw w historii USA. Hakerom - według oficjalnych informacji - udało się wykraść dane około 1,5 miliona kart. GP obsługiwało wszystkie liczące się koncerny produkujące karty kredytowe: VISA, American Express, MasterCard i Discover.
Wcześniej celami takich ataków padało m.in. Citigroup, jeden z największych dostawców finansowych na świecie, czy Sony Playstation - gdzie wykradziono dane użytkowników.
"Sytuacja opanowana"
VISA zareagowała natychmiast i dzień po informacji o zajściu wykreśliła Global Payments z listy firm, które spełniają standardy bezpieczeństwa. - Nadal obsługujemy transakcje VISY, ale wykluczenie nas z rejestru bezpieczeństwa na pewno da naszym partnerom chwilę przerwy na zastanowienie się nad współpracą z firmą, która doznała wycieku danych - mówił na konferencji prasowej zmartwiony CEO GP Paul Garcia.
Jak zaznaczył później Garcia, wyciek został już opanowany, a prace nad zabezpieczeniami trwają. - Przywrócimy stan, w którym Global Payments będzie przestrzegać wszystkich standardów bezpieczeństwa, ale nie umiemy powiedzieć, jak szybko to się stanie - deklarował CEO firmy.
Zasięg nie tylko na USA
Według wstępnych informacji, problem wycieku miał dotyczyć tylko mieszkańców Stanów Zjednoczonych. Ale jedna z naszych Czytelniczek wskazała, że ofiarami mogą paść też i klienci z innych krajów. Ona sama płaciła swoją kartą kredytową za amerykańską telewizję online. Po ataku hakerów na GP zauważyła, że za pomocą jej karty dokonano innych transakcji, na kwotę ok. 100 dolarów. W ramach niechcianych zakupów wydała pieniądze m.in. na płyty audio i DVD.
Oczywiście, oszustwo nie musi być bezpośrednio związane z sytuacją w Global Payments, ale nie można tego wykluczać. Jeśli dokonywaliśmy kartą transakcji na terenie USA lub płaciliśmy firmie tam znajdującej się, nasze dane mogły zostać wykradzione tak samo jak Amerykanów.
Co zrobić po fakcie?
- W jakiejkolwiek sytuacji tego typu, problemy z kartą reklamuje się do wydawcy karty (czyli najczęściej banku - przyp. red.). On sprawdza daną sytuację, weryfikuje czy faktycznie nastąpiła transakcja nie dokonana przez posiadacza karty - tłumaczy nam Jędrzej Grodzicki, ekspert od oszustw bankowych z Związku Banków Polskich.
- W przypadku takiego wycieku danych jak w USA, wydawca sprawdza, czy karta znajdowała się w puli wykradzionych numerów. Jeśli wersja klienta jest prawdziwa, wydawca jest podmiotem, który zwraca stracone w wyniku oszustwa pieniądze - zapewnia Grodzicki. Ekspert podkreśla, że często banki, kiedy wiedzą już o oszustwie i ewidentnie widać to po transakcjach z karty, same wyrównują saldo klienta. - Żeby nie musiał się martwić o reklamacje i nie tracił czasu - mówi nasz rozmówca.
Zwracanie się do wydawcy karty to ogólna zasada, której powinniśmy się trzymać - niezależnie od tego jaki mamy problem z kartą.
- To ogólna zasada: cokolwiek dzieje się z kartą, zawsze należy nawiązać kontakt z wydawcą. Sankcjonują umowy wydawców z posiadaczami kart, jak również przepisy prawa. W ich myśl, to wydawca jest właścicielem karty i ma największy zakres uprawnień odnośnie karty - wyjaśnia Grodzicki.
Jak podkreśla ekspert z ZBP, rozliczenie kto ostatecznie poniesie straty za zwrot - zależy od umów między wydawcą karty "a pozostałymi podmiotami zaangażowanymi w przeprowadzenie transakcji oraz od stopnia przyczynienia się do utraty danych". - Może to być firma, z której "wyciekły" dane, a może być jej ubezpieczyciel. Również hakerzy odpowiedzialni za kradzież danych, w przypadku ich ujęcia, poniosą bezpośrednio finansowy koszt pokrycia strat - naświetla nasz rozmówca.
Czy możemy się przed tym uchronić?
Niestety, hakerzy są na tyle sprytni, że ciężko jest z nimi walczyć lub chociażby zapobiegać ewentualnym oszustwom. - To tak jak z napadami w życiu. Możemy unikać ciemnych zaułków, szemranych ulic, ale to nie zagwarantuje nam, że w biały dzień ktoś nie podejdzie i nas nie okradnie - porównuje Grodzicki. Jego zdaniem, płacąc w internecie kartą kredytową, należy przede wszystkim zwracać uwagę na wiarygodność sklepu i jego zabezpieczenia. To jedyne, co możemy zrobić jako użytkownicy, by nie bać się o nasze pieniądze.
- W przypadku takim, jak teraz w USA, kiedy hakerzy zaatakowali dużą, znaną firmę agregującą ogromne ilości danych i będącą pośrednikiem w transakcjach, wydarzenie to było niezależne od użytkowników kart - zaznacza specjalista ze Związku Banków Polskich. I od razu przypomina, że to nie zwalnia nas z obowiązku starannego dbania o własne dane.
- Posiadacze kart powinni dokładać należytej staranności w ochronie karty, PIN kodu, czy w wyborze sklepu internetowego, w którym dokonują transakcji. Taki obowiązek nakładają przepisy obowiązującego prawa - przypomina Grodzicki.
Polska liderem elektronicznej płatności
Jędrzej Grodzicki z ZBP pociesza jednak: w Polsce 98 proc. sklepów internetowych wyposażone jest w najlepszy, potrójny system weryfikacji karty kredytowej. W innych europejskich krajach wskaźnik ten oscyluje najwyżej wokół 50 proc., nasze państwo zdecydowanie wybija się tu na tle innych.
Ogólnie pod względem transakcji kartami, "jesteśmy najbezpieczniejszym krajem w Europie". Również w kwestii użytkowania kart zbliżeniowych znajdujemy się w czołówce.
Może minister Boni powinien uczyć się cyfryzacji od rodzimych bankowców?