Heartland CEO: Credit Card Encryption Needed

Creditcardtransacties in de VS zijn vaak niet versleuteld en creditcardleveranciers, betalingsverwerkers en retailers moeten een versleutelingsstandaard gebruiken om creditcardnummers te beschermen, zei de CEO van een geschonden betalingsprocessor maandag.

Creditcardnummers zijn nu niet vereist in de betaalkaartindustrie richtlijnen die moeten worden versleuteld tijdens het transport tussen detailhandelaren, betalingsverwerkers en kaartuitgevers, vertelde Robert Carr, voorzitter en CEO van Heartland Payment Systems, aan een Amerikaanse Senaatscommissie. Heartland kondigde in januari de ontdekking aan van een datalek waarbij tientallen miljoenen creditcardnummers werden blootgesteld aan een bende hackers.

"Ik weet nu dat deze industrie meer moet en kan doen om haar beter te beschermen tegen de steeds geavanceerdere methoden gebruikt door deze cybercriminelen, "vertelde Carr aan de Senaat Homeland Security en Governmental Affairs Committee. "Ik geloof dat het cruciaal is om nieuwe technologie te implementeren, niet alleen bij Heartland, maar ook in de hele industrie." Het doel van de hoorzitting van de commissie was, ten dele, om te bepalen of nieuwe wetgeving nodig is om cybercriminaliteit te bestrijden.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Heartland dringt aan op de creditcardindustrie om een end-to-end encryptiestandaard toepassen, zei hij, en het bedrijf gebruikt sabotagebestendige betaalautomaten bij de aangesloten detailhandelaren. "Ons doel is om betaalrekeningnummers van creditcards en debetkaarten en magneetstripgegevens volledig te verwijderen, zodat ze nooit in een bruikbaar formaat beschikbaar zijn in de handelaar of processorsystemen," aldus Carr.

Heartland heeft creditcardmaatschappijen gevraagd om accepteer versleutelde transacties en het bedrijf heeft standaardinstellingen en versleutelingsleveranciers ingeschakeld, zei Carr. Het bedrijf heeft ook geholpen bij het vormen van een informatie-uitwisselingsraad voor betalingsverwerkers, waar de bedrijven informatie kunnen delen over bedreigingen, kwetsbaarheden en beste praktijken, zei hij. < />

We werken aan deze oplossingen, zowel technologisch als coöperatief, omdat Ik wil niet dat iemand anders in onze branche, of onze klanten, of hun klanten … het slachtoffer worden van deze cybercriminelen, "zei hij.

Carr gaf geen details over de Heartland-overtreding, waarbij het bedrijf in gevaar was voor ongeveer een jaar en een half. Het bedrijf blijft betrokken bij onderzoeken en rechtszaken met betrekking tot de schending, zei hij.

Heartland betaalde echter in de eerste helft van 2009 ongeveer US $ 32 miljoen voor forensisch onderzoek, juridisch werk en andere kosten in verband met de overtreding, zei hij.

Senatoren vroegen Carr enkele gerichte vragen over de overtreding. Senator Susan Collins, een Republikein uit Maine, wilde weten hoe het bedrijf van oktober 2006 tot mei 2008 in gevaar kon worden gebracht zonder de schending te ontdekken. "Ik was verbaasd over de lange periode waarin deze hackers deze creditcardnummers konden stelen," zei ze. "Leg me uit hoe een schending van die omvang zo lang onopgemerkt kon blijven." "De manier waarop schendingen normaal worden gedetecteerd, is dat frauduleus gebruik van kaarten wordt bepaald," zei hij. "Er was geen sprake van frauduleus gebruik van de kaarten die tot eind 2008 onder onze aandacht kwamen."

Collins drukte hem verder. "Maar zijn er geen computerprogramma's die u kunt gebruiken om te controleren of er een inbraak heeft plaatsgevonden?" vroeg ze.

"Er zijn, en de cybercriminelen zijn erg goed in het maskeren van zichzelf," zei Carr.

Senator Joe Lieberman, een onafhankelijk van Connecticut, vroeg Carr over de omvang van de overtreding.

In augustus, Albert Gonzalez van Miami werd aangeklaagd in New Jersey voor de diefstal van meer dan 130 miljoen credit- en debetkaarten, volgens het Amerikaanse ministerie van Justitie. Hij werd beschuldigd, samen met twee niet nader genoemde mede-samenzweerders, met behulp van SQL-injectieaanvallen om krediet- en debetkaartinformatie te stelen van Heartland, 7-Eleven en Hannaford Brothers, een in Maine gevestigde supermarktketen. Gonzalez pleitte vorige week schuldig aan gescheiden aanklachten in Massachusetts en New York.

Het is te vroeg om te vertellen hoeveel creditcardnummers die door Heartland zijn verwerkt, zijn gecompromitteerd, aldus Carr. "We weten op dit moment niet de omvang van de fraude," zei hij. "Het is een aanzienlijk compromis."