信用卡安全漏洞 危机重重

四千多万名信用卡卡主个人资料外泄的犯罪纪录,让敏感的金融业成为最近的焦点。

美联社报导,虽然上周五 美国亚利桑那州的信用卡系统清偿公司(CardSystems)承认,公司保留威士卡与万事达卡客户资料是错误的行为,但他绝不是第一个被这样攻击的信用卡处理机构。

许多分析师相信,仅管银行及信用卡公司的合作防范措施做得再好,也无法迫使帐务处理机构维持相当的安全水平,所以,嘉纳市场研究机构(Gartner Inc.)的一位分析师雅薇华.里登(Avivah Litan)就曾这样表示,“他们没有很小心地在监督情况。”

近几年来,没有任何特定法规可以适用于类似的违规事性,只有信用卡联盟如Visa及Master信用卡公司建立的一些帐务处理机构作业安全规则中,规定违规者要缴交几十万元的罚款。

然而,据里登表示,要主动稽查像CardSystems这样的公司并不容易,因为执行方法有太多的不确定因素,发卡机构就只能被动地等待弊端出现,事实上过去也曾发生过类似的事件,只是未公诸于世。

唯一可行的方法是透过合格第三者的监督,但这样做既耗时又耗成本,所以连专家都很怀疑每年处理十万多家中小型企业共计高达一百五十亿美元交易的CardSystems很容易受到网路骸客攻击。

这个违规事件是发生在CardSystems公司为研究目的未适时销毁持卡人资料之后,使四千万个帐户资料外流,至少有二千笔的交易被发现失窃,主要是Master及Visa两家的信用卡。

关于这个事件,CardSystems周一时并未作太多回应,但Master信用卡公司的发言人雪伦.甘辛(Sharon Gamsin)表示,这些档案早该销毁了,厂商是不能保留的,故而美国联邦调查局(FBI)也正针对此案件进行调查。

近几个月来,信用卡公司及资料经纪商被骇客侵入造成客户大量个人资料外流事件,据安全及防弊专家表示,这个趋势的背后有两大因素:

-窃取资料者攫取及贩卖财务机密资料的手法愈来愈复杂。

-今年开始实施的加州法律规定公司在发现个人资料外泄露时要知会该州居民,美国国会亦正针对类似法条的国家版辩论。

在这些惊动社会的重大资料外泄案中,规模最大的属二00三年内布拉斯加州(Nebraska)一家由TransFirst控股公司持有的资料处理国际公司(Data Processors International Inc.),该公司手里的八百万个帐号资料外泄。事件发生后,该公司发言人史考特.琼斯(Scott Jones)表示:公司不能保证不会再发生第二次,只表示公司的资料库已依Visa及Master信用卡公司的规定加密,还有监察软体监督。

虽然美国联邦调查局的前网路犯罪组总督察麦克.吉朋斯(Mike Gibbons)表示,金融服务公司整体上的安全措施已比大部分的产业严谨,但现任优利系统公司(Unisys)的总经理的他还是认为现在这样并不一定够牢固,因为现代电脑网路既复杂又不断更新,所以在一家公司被稽察完毕之后可能又有重大网路系统更新,更新后可能徒留易受攻击的网路系统。

消费者辩护律师相信,信用卡销售商及银行,因惧怕消费者的阻力,而不愿改革目前的信用卡系统。

也难怪美国公共利益研究团体的消费者计划主持人艾德穆德.米尔温斯基(Edmund Mierzwinski)会这样评论,“个人资讯流经信用卡系统,在这么多地方停驻过,在这个消费者根本不知道怎么作出来的混杂系统里,可能在那里被拿出来用过了。”而且这个系统主要是设计来榨取消费者及企业交的费用的,但它的设计却不能保护付费者。

(大纪元记者郭秋怡编译报导)

本文留言

近期读者推荐