Americký maloobchodní řetězec Target oznámil, že mu unikly platební údaje čtyřiceti milionů zákazníků.
Co přesně uniklo
K posouzení případu je potřeba věnovat přesnou pozornost tomu, co uniklo a odkud. Target oznámil, že unikly údaje těch, kteří nakoupili v jeho prodejnách v USA, tedy zaplatili osobně na platebních terminálech u pokladny, a to od 27. listopadu po 15. prosince. Únik se netýká online nákupů na Target.com, ani nákupů v síti Target v jiných zemích, například v Kanadě.
Unikla data načtená terminály: jméno držitele karty, číslo karty, konec platnosti karty a „CVV“. Jenže v prohlášení společnost uvádí, že pod „CVV“ nemyslí třímístný kód na zadní straně karty. (Umístění a počet číslic se může u kartových společností lišit.)
Podržíme‑li se pojmů užívaných společností VISA, zatímco každá kartová společnost si zavedla vlastní názvy a zkratky, pak jsou dva kódy CVV — jednak CVV1, jednak CVV2. CVV2 je vzadu na kartě u podpisu, zatímco není zakódováno v kartě a musí se opsat ručně. Využívá se toliko při placení vzdáleném. Naopak CVV1 je zakódováno na magnetickém pruhu karty a načítá jej platební terminál, aby podle něj prověřil platnost karty ve spojení s číslem karty. CVV1 není na kartě napsáno a držitel karty tento kód běžně nezná.
Rozumíme‑li správně prohlášení společnosti Target, pak tedy uniklá data nelze využít k podvodnému nakupování online. Asi je jde využít k výrobě podvodných karet na zaplacení u terminálů, třebaže to je úkon řádově náročnější.
New York Times upozorňují, že v USA se dosud nerozšířily platební karty „čipové“, které v Evropě známe už léta. Tedy je možné ukradená data „poměrně snadno“ nakódovat na magnetický pruh karty padělané.
Případ připomíná jiné, i větší, o kterých jsme na Lupě už psali. Pachatelé tehdy pocházeli především z Ruska, ale v Americe měli místní komplice.
Jako perličku na závěr zmiňme, že přístup na Target.com je nyní z českých IP adres zjevně zamezen. Snad nás „zařadili k Rusku“. Na Target.com se nyní můžete podívat jen přes nějakou proxy.