Hlavní navigace

Americkému řetězci Target unikly platební údaje 40 milionů zákazníků

20. 12. 2013
Doba čtení: 2 minuty

Sdílet

Platební údaje unikly nejspíše z terminálů na prodejnách, popřípadě někde na cestě od terminálů. Případ nepostihl nákupy online a s uniklými čísly nejde nakoupit online.

Americký maloobchodní řetězec Target oznámil, že mu unikly platební údaje čtyřiceti milionů zákazníků.

Co přesně uniklo

K posouzení případu je potřeba věnovat přesnou pozornost tomu, co uniklo a odkud. Target oznámil, že unikly údaje těch, kteří nakoupili v jeho prodejnách v USA, tedy zaplatili osobně na platebních terminálech u pokladny, a to od 27. listopadu po 15. prosince. Únik se netýká online nákupů na Target.com, ani nákupů v síti Target v jiných zemích, například v Kanadě.

Unikla data načtená terminály: jméno držitele karty, číslo karty, konec platnosti karty a „CVV“. Jenže v prohlášení společnost uvádí, že pod „CVV“ nemyslí třímístný kód na zadní straně karty. (Umístění a počet číslic se může u kartových společností lišit.)

Podržíme‑li se pojmů užívaných společností VISA, zatímco každá kartová společnost si zavedla vlastní názvy a zkratky, pak jsou dva kódy CVV — jednak CVV1, jednak CVV2. CVV2 je vzadu na kartě u podpisu, zatímco není zakódováno v kartě a musí se opsat ručně. Využívá se toliko při placení vzdáleném. Naopak CVV1 je zakódováno na magnetickém pruhu karty a načítá jej platební terminál, aby podle něj prověřil platnost karty ve spojení s číslem karty. CVV1 není na kartě napsáno a držitel karty tento kód běžně nezná.

Rozumíme‑li správně prohlášení společnosti Target, pak tedy uniklá data nelze využít k podvodnému nakupování online. Asi je jde využít k výrobě podvodných karet na zaplacení u terminálů, třebaže to je úkon řádově náročnější.

New York Times upozorňují, že v USA se dosud nerozšířily platební karty „čipové“, které v Evropě známe už léta. Tedy je možné ukradená data „poměrně snadno“ nakódovat na magnetický pruh karty padělané.

WT100

Případ připomíná jiné, i větší, o kterých jsme na Lupě už psali. Pachatelé tehdy pocházeli především z Ruska, ale v Americe měli místní komplice.

Jako perličku na závěr zmiňme, že přístup na Target.com je nyní z českých IP adres zjevně zamezen. Snad nás „zařadili k Rusku“. Na Target.com se nyní můžete podívat jen přes nějakou proxy.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).