近日，萬事達公司在一份新聞稿中公布一條震驚全球的消息：4000萬信用卡用戶的信息可能被竊。這次事件涉及到1390萬名萬事達客戶、2200萬Visa 客戶以及數量不詳的美國運通和Discover客戶。

　　通過侵入一家結算處理公司的計算機，黑客顯然偷走了20萬張信用卡和借記卡賬戶的數據，并可能訪問了4000萬名信用卡的信息。萬事達信用卡國際公司發言人Jessica Antle證實，不過，此次安全違規事件的根源是CardSystems公司，一家為數家信用卡處理交易的第三方公司。

　　Antle說，此次安全違規事件涉及一種計算機病毒。這種病毒為欺詐竊取顧客數據，可能影響到所有品牌信用卡用戶。他表示，黑客可能利用了該公司系統的漏洞，進入了該公司的網絡并獲取了客戶的信息。

　　盡管Antel說顧客不必為身份偷竊擔心：“社會保險號、出生日期以及諸如此類的信息根本就沒有保存在信用卡上。”但來自各國的評估和欺詐性交易報告顯示，此次用戶信息被竊已經導致了欺詐性交易：一些用戶信用卡出現了高檔產品消費。

　　美國聯邦調查局(FBI)已開始調查此事。

　　泄漏發生在數周前

　　據《New York Times》報道，這次安全違規事件可以追溯到4月中旬，當時萬事達國際公司注意到異常的欺詐消費。《New York Times》援引CEO John M. Perry的話說，被偷竊的記錄因“研究目的”保存在CardSystems公司的一個計算機文件中。

　　《New York Times》援引他的話說：“我們不應當這樣做。” 使用保存記錄的研究涉及確定一些交易為什么未過經授權或不完整的原因。

　　萬事達公司在透露這次事件時說，此次安全違規事件發生在CardSystems設在亞利桑納州Tuscon市的運營中心。據CardSystems發表的聲明說，FBI是在5月23日被告知此事的。該公司在聲明中說，公司已經部署了一位調查安全審計員建議的改進的和額外的安全程序。

　　CardSystems每年為105000多家中小企業處理交易，并且每年為MasterCard、Visa、Discover和American Express以及在線借款處理150億美元的交易。

　　同時，安全廠商Secure Computing公司在這次安全事件透露后發現了第一起在主題行中借用萬事達名義警告電子郵件用戶的網頁鉤魚欺詐。最初的欺詐似乎顯得是倉促上陣，因為它沒有提到這次安全事件，可能是改頭換面的老騙局。Secure Computing預測未來幾天欺詐騙局將繼續出現，可能還會變得更加狡滑，尤其在主標行或內容中提到最新的重大安全事件新聞時。

　　Secure Computing公司公關經理David Burt說：“消費者肯定應當知道。”這次涉及眾多信用卡公司的引起廣泛關注的最新安全違規事件，無疑將成為美國國會未來辯論的主題。美國國會已有20多項從這樣或那樣角度涉及身份偷竊的議案在醞釀中。

　　Forrester公司分析師Paul Stamp說，公開披露CardSystems安全違規事件(盡管是在事件發生的數周后披露的)可能在某種程度上是對加州參議院有關隱私與個人信息的1386法案的反應。他說，未來應當出現對這類事件更多的披露。

　　他說：“這類事件肯定會發生。它們可能過去一直在發生。”現在不同是公眾要求有人承擔責任。CardSystems無疑有很多問題需要回答。《New York Times》報道說，被盜的數據沒有被加密，并且信用卡公司發表聲明說CardSystems沒有遵守他們的恰當的安全要求。

　　黑客能量越來越大

　　這并沒有使實現這種偷竊所需要的技術變得那么不同異常。

　　公開透露的有關對CardSystems Solutions公司的攻擊情況的信息沒有多少。FBI和這家公司都對這次黑客行動的細節緘口不言。當被問及公司115名雇員中是否有人與此案有關時，CardSystems公司高級營銷副總裁Bill Reeves告訴美聯社說，公司“目前不能排除任何情況”。當記者逼迫他詳細說明時，他說，由于正在進行的調查，他不能發表評論。

　　即使如此，目前了解的情況足以使計算機安全專家做出有根據的推測。

　　安全研究人員說，信用卡盜賊在線社區在利用金融網絡弱點上越來越精明。甚至常常被嘲笑為“腳本小子”的惡作劇者，都可以從一大堆容易得到的工具中，剪切、粘貼發動攻擊所需要編程代碼?D?D甚至不必理解它們的工作原理。

　　TraceSecurity公司首席技術官Jim Stickley說：“我認為腳本小子就可以干這件事。我不認為這有多難。”在公布這次泄密事件時，MasterCard說有人在CardSystems的網絡中植入了一種類似于病毒的程序。CardSystems隨后承認泄露的數據因“研究目的”被不當地保存，而不是在交換完成后刪除。

　　如果這種“研究”涉及將數據轉移到CardSystems網絡不太安全的部分?D?D也許說，使CardSystems程序員可以在真正的信用卡記錄上進行試驗?D?D使用常規探測系統尋找軟肋的外部人員可能發現了這些文件。IBM公司金融服務實踐風險與遵從性解決方案主管Jonathan Rosenoer說：“現在你每一次Internet連接都會遭到數百次攻擊。”

　　TraceSecurity公司首席技術官Jim Stickley給出了一種簡單的情景：某人可以向一位CardSystems雇員發送一封內有與假在線賀卡鏈接的電子郵件。這個鏈接將帶來預期的跳舞的小狗或其他他歡快的場面，而在背后，一個“特洛伊木馬”程序會在計算機上扎下根，準備向外部人員轉發信息。由于木馬程序通過通常為Web瀏覽留下的通信端口進入計算機，攻擊將不會被入侵檢測軟件發現或被防火墻阻止。

　　舊金山計算機安全協會主任Robert Richardson說，目前出現了越來越多的釋放特洛伊木馬的自動工具以及其他入侵復雜系統的工具。“他們非常快地沿食物鏈升級。”Postal Service and Citigroup公司前信用卡欺詐調查員Tom Kelly說，CardSystems黑客活動似乎是一個老練團伙的杰作。這個團伙準確地知道要拿哪類文件。 
 
　    黑客背后的黑市

　　黑客盜竊信用卡信息的背后是利潤可觀的黑市。

　　據報道，一些信用卡賬號已經在俄羅斯的網站上出售，一些消費者已經在對賬單中發現了欺詐性交易。“我們看到在俄羅斯的一些聊天室，很多人在談論電子犯罪集團的此次重大勝利。”iDefence公司的技術人員稱。

　　實際上，出售這些信用卡信息可以讓黑客賺得巨款。據網上欺詐分析師估計，每個萬事達卡即便賬號價值42美元。金卡，比如上限較高的白金或黃金卡則售價會高達70美元。

　　一些用戶也發現欺詐性消費，銀行已將在加拿大、英國和亞洲的一些可疑的消費活動通知給了持卡人。

　　鏈接 常識性防范措施　

　　黑客攻擊盡管猖獗且手段越來越高明，但信用卡用戶仍可以通過一些簡單的手段進行防范。

　　消費者組織和信用卡公司說，消費者可以采取常識性防范措施避免的威脅：從經常上網檢查賬目到如果每月賬單沒有出現在郵件中時直接給信用卡公司打電話。

※ 計算機取證與技術公司下屬部門Stroz Friedberg Investigations高級調查員Tom Kelly說，一定要讓您的信用卡公司掌握您目前的電話號碼，這樣當他們看到信用卡上出現可疑的交易時，可以給您打電話。

　　※ 美國公眾利益研究組織消費者權益鼓吹者Ed Mierzwinski說，不要在Internet上使用借記卡。借記卡欺詐行為會用光您活期存款賬戶中的資金。

　　※ Mierzwinski說，如果您收到有關賬戶可疑活動的電話或電子郵件，不要通過電話或上網提供信息。相反，記下信用卡代表的名字，然后按照信用卡背面上所列的電話號碼給他們回電話。

　　※ Consumers Union政策分析師Susanna Montezemolo說，跟蹤記錄您的交易。您應當能夠告訴信用卡公司代表您的最后5筆交易的情況。

　　※ 消費者金融教育協會執行主管Paul Richard說，少使用信用卡。他的組織銷售的信用卡套子上寫著：“如果您可以吃飯、喝水、穿衣，這就不是急事。”

　　※ 如果信用卡的每月對賬單沒有郵寄來，通知您的信用卡公司。一旦檢查確認賬目正確后，撕掉這些賬單。您還要撕掉信用卡申請，以防他人利用您的名字申請信用卡。

　　※ Montezemolo說，保存好收據，并對照這些收據檢查信用卡賬目。如果您可以上網查看賬目，每周檢查它們一次。她說：“一些人通過一個誠實的錯誤發現商讓給交易金額后面多加上一個零。”

　　※ 將您賬戶號碼、它們的失效日期以及信用卡公司的電話號碼的記錄保存在一個安全的地方。

　　※ 不要將信用卡付款單留在家庭郵箱中。相反，通過郵局或安全的郵箱郵寄它們。

　　※ 當您外出旅行時，請謹慎在網吧或提供無線連接的場所使用信用卡。

　　※ 每年至少一次檢查信用報告。

　　受到波及的部分亞太國家 　中國 4萬以上

　　據中國工商銀行牡丹卡中心，萬事達卡已經通知該行，大約5560名中國持卡用戶，包括近500名牡丹卡用戶會受到影響。維薩還沒有提供受影響的中國信用卡用戶數量。中國人民銀行已要求所有信用卡組織妥善處理此事，并要求國內信用卡機構保持警惕，采用措施防范此類事件。

　　據報道，大約1.6萬名我國臺灣信用卡用戶將會受到此事影響，包括7000 名維薩卡用戶，其余為萬事達卡用戶。大約2萬香港信用卡用戶可能存在風險。9000名香港維薩卡用戶受到影響，萬事達則稱9730名香港用戶受到影響。香港有關機構負責人要求最近在美使用過信用卡的用戶密切留意自己的對賬單。

　　日本 6.7萬

　　日本政府6月22日稱,美國的信用卡數據泄漏事件可能會影響日本的6.7萬名持卡用戶。最新的報道則稱，可能有8萬日本信用卡用戶信息被竊。

　　日本經濟產業省的聲明顯示被竊信用卡信息有增大的可能性。來自經濟產業省的官員稱，大約4.6萬名維薩卡和2.1萬名萬事達卡日本用戶的信息可能已經被泄漏。還有大約31名日本信息卡公司JCB的持卡者信息被竊。

　　據媒體報道，日本持卡者投訴有高達3000萬日元(約合27.5萬美元)的欺詐性消費。

　　澳大利亞 12.7萬

　　高達12.7萬個澳大利亞信用卡用戶可能因美國發生的信用卡信息被竊而受到影響。

　　大約5萬名萬事達卡澳洲使用者，7.7萬名維薩卡澳洲用戶可能面臨欺詐消費的風險。

　　去年以來與美國企業有過在線交易或實地交易的澳大利亞人，交易通過Cardsystems處理的，可能會受到影響。

　　新西蘭 1.3萬

　　大約1.3萬名新西蘭持卡用戶的信息被竊。維薩機構稱，1.2萬名持卡用戶受到影響，其中650人處于高風險中。

　　萬事達機構稱，已建議銀行1000張信用卡，5560張持卡人可能受到影響。已有數家銀行承諾將重新發放信用卡，以保護用戶免受侵害。

　　萬事達發言人要求信用卡用戶監控自己的對賬單。在新西蘭，Westpac正在重新發放4000張信用卡，盡管還沒有出現欺詐交易。

　　鏈接：近期美國金融信息泄漏事件

　　2005年2月，美洲銀行120萬聯邦政府雇員的社會保險號碼和其他信用卡資料的電腦磁盤丟失。其中包括美國國會參議員的數據資料。

　　5月，美國四家大銀行的約50萬客戶的電子賬戶記錄被不法分子竊取，并被轉手賣給了債務公司。這4家大銀行分別是總部設在北卡羅萊納州的美國銀行公司和瓦霍維亞銀行公司，新澤西州的切爾希里商業銀行和匹茲堡國民商業銀行公司。

　　6月，世界最大銀行美國花旗集團丟失了一批記錄著390萬客戶賬戶及個人信息的電腦記錄數據帶，而直接導致這一丟失事件發生的竟然是美國快遞業三大巨頭之一的聯合包裹運送服務公司(UPS)。