Birt á Moggablogginu 5.12.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd
Umfangsmesta kortasvikamál undanfarinna ára er mál TJX verslunarkeðjunnar í Bandaríkjunum. TJX er móðurfyrirtæki nokkurra lágvöruverslana á borð við Maxx og Marshall sem einhverjir Íslendingar þekkja úr verslunarferðum sínum til Bandaríkjanna. Á þriggja ára tímabili frá 2003 til 2006 er talið að meira en 46 milljónir greiðslukorta (debet og kredit) hafi verið hökkuð og yfir 96 milljónir viðskiptavina hafi orðið fyrir áhrifum af þessu. Þar af er talið að um 65 milljónir hafi verið handhafar VISA kort og 29 milljónir verið handhafar MasterCard korta.
VISA International hefur áætlað tjón sitt vera á bilinu 68 - 83 milljónir USD eða á bilinu 4 - 5 milljarðar króna. Samkomulag hefur tekist á milli TJX og VISA um að TJX greiði VISA bætur upp á USD 40,9 milljónir eða um kr. 2,4 milljarðar, en auk þess bæti TJX korthöfum tjón sitt beint. Samkomulagið er háð því að 80% útgefenda kortanna (sem eru viðskiptabankar korthafanna) veiti samþykki sitt fyrir þessari lausn mála fyrir 19. desember nk.
TJX viðurkennir að heilmargt hafi farið úrskeiðis varðandi varnir fyrirtækisins gegn netárásum. Fyrirtækið hefur brugðist við af fullum þunga og innleitt þær ráðstafanir sem svo kallaður PCI DSS (Payment Card Industry Data Security Standards) gerir kröfu um. Ein af helstu ástæðum fyrir því að tölvuþrjótum tókst að nálgast allar þessar upplýsingar um korthafa og kortanúmer, var að TJX geymdi upplýsingarnar ókóðaðar á gagnamiðlum sem þrjótarnir komust inn á. Samkvæmt PCI DSS er það bannað.
En hremmingum TJX er alls ekki lokið. Samtök banka í Massachusett hafa höfðað skaðabótamál og þó svo að bótafjárhæð hafi ekki verið sett fram opinberlega, er gert ráð fyrir að hún verði á milli 30 og 60 milljarða króna.
Það má svo bæta við, að PCI DSS staðallinn gildir einnig hér á landi. Honum er ætlað að bæta öryggi greiðslukortaupplýsinga. Illa virðist hafa gengið að fá íslensk fyrirtæki til að innleiða ráðstafanir staðalsins og hefur fresturinn til að uppfylla kröfur hans tvívegis verið framlengdur. Nánar má lesa um PCI DSS með því að smella hér.