PCI安全標(biāo)準(zhǔn)2005年開始實(shí)施，具體包括了安裝防火墻和防病毒軟件，更改默認(rèn)口令，加密數(shù)據(jù)傳輸(在公共網(wǎng)絡(luò)環(huán)境下)等。其目的在于保護(hù)持卡人的數(shù)據(jù)，減少被盜的風(fēng)險(xiǎn)，或即使被盜后也難以被盜竊者使用。但在PCI實(shí)施后的這十年中，銀行卡數(shù)據(jù)被盜的事件依然頻頻發(fā)生，令人無(wú)奈的是，許多當(dāng)事公司還通過了PCI安全標(biāo)準(zhǔn)的合規(guī)認(rèn)證。

下面本文就和大家一起回顧，近十年來(lái)最大的10起銀行卡數(shù)據(jù)泄露事件：

1. CardSystems Solutions-4000萬(wàn)

CardSystems Solutions是亞利桑那州一家已經(jīng)消失的信用卡公司，并永遠(yuǎn)保留了其第一名的榮譽(yù)。該公司在2002年《加利福尼亞入侵告知法》通過后，成為首個(gè)被入侵的企業(yè)。《告知法》要求企業(yè)在用戶的敏感信息被盜后，要告知用戶。

入侵者在該公司的網(wǎng)絡(luò)上放置了一個(gè)惡意腳本，用以嗅探銀行卡的交易數(shù)據(jù)。最終竊取了約4000萬(wàn)銀行卡信息，包括姓名、卡號(hào)和安全碼。CardSystem雖然在2004年6月就通過了PCI標(biāo)準(zhǔn)合規(guī)的認(rèn)證，但它還是違規(guī)存儲(chǔ)了交易完成后未經(jīng)加密的交易數(shù)據(jù)。該起入侵事件發(fā)生于2005年5月。

2. TJX-9400萬(wàn)

TJX只是被阿爾伯特·岡薩雷斯和一個(gè)俄羅斯黑客團(tuán)伙黑掉的眾多零售商之一。他們?cè)?007年使用戰(zhàn)爭(zhēng)撥號(hào)(war-dialing)的手法侵入了TJX的網(wǎng)絡(luò)，他們開車經(jīng)過企業(yè)的辦公室，車上裝有天線的筆記本電腦運(yùn)行一個(gè)特殊的程序，以掃描無(wú)線網(wǎng)絡(luò)。然后通過無(wú)線網(wǎng)絡(luò)，進(jìn)入到TJX的銀行卡數(shù)據(jù)傳輸網(wǎng)絡(luò)。同樣，TJX的傳輸網(wǎng)絡(luò)也沒有加密。

最初的入侵在2005年7月，到直到2006年12月才發(fā)現(xiàn)這次入侵。之后這伙黑客又進(jìn)行了第二次、第三次入侵……最終導(dǎo)致了該零售商2.56億美元的損失。

3. 哈特蘭德支付系統(tǒng)-1.3億

這是阿爾伯特·岡薩雷斯和他的俄羅斯同伙犯下的又一件驚天大案。在零售商TJX的身上嘗到甜頭之后，這些黑客很快意識(shí)到銀行卡公司的油水更大。哈特蘭德每個(gè)月要處理25萬(wàn)筆支付交易，約1億張卡片信息。

該公司在2008年10月意識(shí)到可能被入侵，但在3個(gè)月之后才確定此事。攻擊者在哈特蘭德的一臺(tái)服務(wù)器上安裝了嗅探程序，避開了調(diào)查取證人員的檢測(cè)。

哈特蘭德在入侵事件發(fā)生前，已經(jīng)6次通過了合規(guī)認(rèn)證。該此入侵導(dǎo)致了該公司在罰款、法律事務(wù)和其他事務(wù)上的花費(fèi)超過1.3億美元，幾乎等同于其泄露的銀行卡信息-1.3億張。

4. RBS WorldPay-150萬(wàn)

從數(shù)量上來(lái)看，150萬(wàn)張銀行卡信息的泄露與上面的事件相比，只是小巫見大巫，但RBS可不是零售商或傳統(tǒng)的支付服務(wù)商。首先，RBS是蘇格蘭皇家銀行的主要支付服務(wù)提供商，再者它還提供電子支付業(yè)務(wù)，包括電子福利轉(zhuǎn)賬和預(yù)付卡(如代替支票的無(wú)紙化工資發(fā)放)業(yè)務(wù)。

RBS于2008年11月發(fā)現(xiàn)遭到入侵，攻擊者訪問了100張工資卡的賬戶并提高了賬戶余額和每日提款上限，最高的一個(gè)賬戶提款上限被提到50萬(wàn)美元。然后組織一批取款人把卡片上的信息復(fù)制到提款用的偽造銀行卡中，通過全球范圍的合作，在12小時(shí)內(nèi)全球2000臺(tái)自動(dòng)取款機(jī)上劫走了950萬(wàn)美元。

5. 巴恩斯和諾寶-數(shù)量未知

巴恩斯和諾寶是美國(guó)最大的實(shí)體書店，全球第二大網(wǎng)上書店。該書店的入侵事件是歷史上第一次針對(duì)POS機(jī)的入侵事件。事件發(fā)生一年后，官方仍未提供入侵的細(xì)節(jié)以及泄露的銀行卡數(shù)量。到現(xiàn)在只知道FBI于2012年9月開始介入調(diào)查，在63家分店的POS機(jī)上發(fā)現(xiàn)了復(fù)制卡片信息的惡意軟件。惡意軟件是如何安裝到POS機(jī)上的，至今還不得而知。

6. 加拿大信用卡盜竊團(tuán)伙

在巴恩斯和諾寶事件發(fā)生前幾個(gè)月，加拿大發(fā)生了一起企圖篡改POS終端機(jī)，以盜竊700萬(wàn)美元的事件。警方稱該盜竊團(tuán)伙位于蒙特利爾，其行動(dòng)如同軍事行動(dòng)一樣精確，分發(fā)克隆的銀行卡給各地的同伙。該團(tuán)伙曾在取款機(jī)上安裝復(fù)制銀行卡信息的設(shè)備，并且盜竊餐館和零售店的的POS機(jī)在上面安裝嗅探程序，然后再歸還回去。這群黑客把偷來(lái)POS機(jī)在汽車或旅館里進(jìn)行改裝后，可以用藍(lán)牙隔空從POS機(jī)上抓取數(shù)據(jù)，整個(gè)改裝過程僅需1個(gè)小時(shí)。

警方認(rèn)為，有內(nèi)部人員收受賄賂為這個(gè)團(tuán)伙打開方便之門。

7. 印度和美國(guó)的不知名銀行卡服務(wù)商-數(shù)量未知

在與RBS類似的一起入侵事件中，黑客侵入了美國(guó)和印度的幾家不知名的銀行卡服務(wù)商。他們提高了預(yù)付費(fèi)賬戶的余額，把卡片信息分發(fā)給提款人，從世界各地的取款機(jī)上取走了4500萬(wàn)美元。

8. Cisero’s Ristorante and Nightclub-數(shù)量未知

Cisero’s Ristorante and Nightclub是一家娛樂餐飲公司。實(shí)際上，它是否被入侵現(xiàn)在都不得而知，更不用說(shuō)知道它可能丟失的銀行卡信息的數(shù)量了。這家猶他州的小型家族式企業(yè)之所以上榜是因?yàn)樗?ldquo;以弱勝?gòu)?qiáng)”之戰(zhàn)。它反對(duì)支付卡行業(yè)對(duì)被未能證實(shí)被入侵企業(yè)的不公正罰款。

2008年3月，維薩(Visa)通知美國(guó)銀行Cisero's的網(wǎng)絡(luò)可能被入侵，因?yàn)樵谠摬宛^使用過的銀行卡被發(fā)現(xiàn)用于在其他地方進(jìn)行欺詐消費(fèi)。得知此事后，Cisero's雇用了兩家公司調(diào)查取證，但均未發(fā)現(xiàn)任何被入侵或銀行卡信息被盜的證據(jù)。然而，審計(jì)人員的確發(fā)現(xiàn)該餐館的POS終端機(jī)存儲(chǔ)未加密的顧客賬戶號(hào)碼，違反了PCI標(biāo)準(zhǔn)。依據(jù)標(biāo)準(zhǔn)，維薩和萬(wàn)事達(dá)對(duì)負(fù)責(zé)自銀行卡交易的美國(guó)銀行和支付處理方Elavon開出了9.9萬(wàn)美元的罰款，并沒有對(duì)商家和零售商罰款。但美國(guó)銀行和Elavon從該餐館的銀行賬戶中強(qiáng)行扣除了1萬(wàn)美元。

2. 環(huán)匯支付有限公司-150萬(wàn)

這家位于亞特蘭大的支付處理方，在2012年2月聲稱被入侵。同年4月，維薩警告此次入侵事件很可能早在2011年就已經(jīng)發(fā)生，并影響到11年6月7日之后發(fā)生的交易。全球支付的首席執(zhí)行官加西亞在隨后召開的投資者會(huì)議上聲稱，由于公司目前安全措施的作用，此次入侵影響的范圍很小。全球支付因此事大約損失9400萬(wàn)美元，一小半用于支付罰款和欺詐損失，一大半用于調(diào)查和彌補(bǔ)。

1. 下一次-未知

如同死亡和稅收，下一次銀行卡入侵事件，不可避免。