據最近發表的法院文件披露,駭客突破了美國花旗銀行在 7-Eleven 商店內部的自動提款機網路,並竊取了客戶的 PIN 碼。這個事件表明銀行資訊最敏感部分存在一個嚴重的安全漏洞。
這起身份證盜竊事件竊取了數百萬美元。但是,對於消費者來說,更重要的是這個事件表明犯罪分子能夠透過攻擊負責提款機的後端系統獲得用戶的 PIN 碼。
美國紐約南部地區法院審理的這起案件突顯了一個重要的問題,共三名被告遭起訴。
駭客把目標對準了自動提款機基礎設施。這種自動提款機基礎設施逐漸地採用
微軟的
Windows 操作系統,允許機器在網際網路上進行遠端診斷和維修。儘管產業標準要求對 PIN 進行強大的加密保護,但是,一些操作人員沒有按照規定去做。這些 PIN 碼是在自動提款機與處理這個交易的計算機之間的傳輸過程中洩漏的。
這起駭客盜竊事件發生 2007 年 10 月至 2008 年 3 月。目前還不清楚有多少花旗銀行的客戶受到影響。花旗銀行在美國各地的 7-Eleven 中有 5700 台自動提款機。不過,華旗銀行不擁有和操作這些自動提款機,而是由另外兩家公司負責,分別為擁有這些自動提款機的 Cardtronics 公司和操作這些機器的 Fiserv 公司。
調查中的一個關鍵問題是駭客如何突破這些系統的,至今尚不得而知。而在事件發生後,花旗銀行已主動開始更換部分客戶的提款卡。
http://www.itis.tw/node/1912
