https://forms.gle/bmeurFX91jaGPgWM8
https://forms.gle/bmeurFX91jaGPgWM8

觀點

從Heartland金融駭客事件看危機應變處理

2009 / 05 / 04
編輯部
從Heartland金融駭客事件看危機應變處理

從RBS WorldPay到Heartland Payment Systems,一連串的金融資安事件讓實際損失浮出檯面,這樣的事件等於是銀行搶案,警調單位應該視為與跨國搶案相同的嚴重性。

美國信用卡處理商和支付服務供應商Heartland Payment Systems(簡稱HPY)在今年1月底發表一項聲明,其付款處理系統以及內部網路可能遭到入侵並植入後門程式,造成難以估計的資料外洩。另外一個事件更是已經造成實際上金錢的損失,RBS WorldPay(中文譯為環球支付)去年12月也對外承認其網站系統遭到駭客入侵破解,取得約150萬名客戶個資,這件事情因為11月的時候,發生了多起偽造提款卡在全球49個城市,在短時間內提領了900萬美金,也就是說這些資料可能在被偷竊之後,遭快速地分類驗證找出有效的卡號與PIN碼後,可能還交叉比對了其他事件外洩的資料,在11月18日晚上30分鐘內被提領約新台幣3億元,據了解可能超過130個車手,至ATM取款者涉案。

金融機構遭駭時間列表 
1.2008.10   RBS WorldPay 網站資料遭竊。
2.2008.11.10 RBS WorldPay 確認與清點受害範圍。
3.2008.11.18 RBS WorldPay 疑似遭ATM盜領3億台幣。
4.2008.12 RBS WorldPay公布受駭聲明。
5.2008.10.28 Heartland Payment Systems Visa及MasterCard信用卡組織示警。
6.2009.01.20 Heartland Payment Systems公布其發現內部網路有惡意活動。
7.2009.01.20 Heartland Payment Systems公布受駭聲明及受駭網站。
8.2009.01.23 Heartland Payment Systems CEO發表聲明對抗犯罪並提供點對點 加密。
9.2009.02.13 在弗羅里達逮捕3名嫌犯,稱其曾入侵Heartland Payment Systems。
RBS WorldPay和Heartland Payment Systems在2008年底傳出2件重大的資料外洩事件,其類型已經不是以往磁帶遺失或人為疏失之資料外洩類型,嚴格來說,可以視為跨國之銀行搶案或稱之為資訊資產竊盜。這是目前最龐大的網路與電腦犯罪之重案,可以視為目前集團組織化網路犯罪之嚴重警訊開端。而RBS WorldPay則是在被盜領之後才對外承認問題,也因為其言後承認的不明確處理方式,造成了更大的危機,足以讓其他金融機構引以為戒。所以,在HPY發生問題之後,其危機處理方式就採取非常公開以及完整的配套來進行,以避免發生像RBS WorldPay這樣的重大損失的窘境。
其實RBS WorldPay可以不用遭受這一次盜領案損失與面子裡子都丟光的危機,因為早在還沒發生盜領的前一週,RBS WorldPay已經判斷出受害的範圍,但視其為危機處理的節奏與程序不夠迅速,而造成了在一週之後的重大問題。所以我們可以比較一下這2個案例在危機處理上的優劣差異,作為未來可能因應此類事件之參考。一般可以從事件的發現、到第一時間的處置、處理的層級與心態等面向來觀察這2件事件的危機管理能力。

發現與控制損害
Heartland公司之所以會發現此事,是因為接到了Visa及MasterCard信用卡組織的警告,提醒已經發現許多HPY相關的信用卡可疑之交易活動。接著HPY很快地針對此事進行報案,由地檢署與執法單位人員協助該公司進行內部調查。最後找出了疑似造成大批資料外洩的可能原因:內部電腦遭受入侵,美國人以很平淡的口吻帶過,說是發現了惡意程式,應該就是我們所謂的木馬與後門,可以直接控制整個交易處理系統的資料庫的資料,所以拿到1億筆客戶之資料與卡號並非難事。加上RBS WorldPay的前車之鑑,HPY在處理此事件時有可以比較之對照組,因此處理上顯得比較明快一些。
調查之後,發現了內部有惡意的活動,推論可能是經由所謂的惡意信件方式入侵特定之目標,接著在內部取得控制權後,開始獲取有價資料,包含社會安全號碼、卡號等。因此,HPY在1周的時間中,總共168小時內,決定了推出公開網站與相關之一系列聲明,同時決定了以藉此提供點對點加密之免費服務,(雖然我們知道這個與資料外洩原因扯不上關係),但是對於HPY的危機處理團隊在短時間內能夠做出這樣的決策與付諸行動要給予掌聲與肯定(雖然事後發現他們一開始就沒把實情供出),調查到一定的範圍之後,就決定要做出相關的處置策略。接著必須要和有司法調查權的機構密切合作,因為此案可能還牽涉到跨國之網路詐欺犯罪,因此牽涉的配合處理單位就比較多。可能會有多頭馬車以及各單位爭功的狀況,也不足為奇,不過這一次牽涉到更龐大的跨國詐欺盜領,可能要等到破案的時侯才會知道真正介入的單位有多少。
到了2月中,一家銀行組織調查後發現,HPY所牽涉的範圍已經擴增到至少135家金融與發卡機構,因為這些機構的交易處理都是經由HPY在處理,對照到國內的處理機構,就要更加小心網路犯罪集團的覬覦,而成為受害者。

找出原因以及處理方式
內部網路問題:在被竊的資料中包含了未加密的PIN、住址、電話與社會安全碼,還有磁條金融卡的卡號,而這些東西足以偽造出可領取ATM金錢的偽卡。問題在於內網所使用的資料不要求加密,即使加密了也是偷得出來。所以,對於機敏資料嚴格的存取限制、時間限制、容量限制是有必要的。加密恐怕無法解決所有問題,因為也可以連金鑰一起偷或者乾脆直接透過破解密碼方式取得資料。另外一方面,根據其聲明http://www.bankinfosecurity.com/external/RBS_WorldPay_Press_Release_Dec_23.pdf 指出,RBS WorldPay問題是出在電腦系統遭到入侵,依據其描述判斷可能也和內部網路先遭到入侵的狀況相似。在確認該意外後,Heartland就開始透過專家導入新的監控安全程式,可以即時找出不規則的異常網路活動,並讓執法單位可迅速逮到這些網路罪犯。此外,Heartland亦建立一個相關網站,揭露此意外的相關資訊並建議持卡人特別注意每月的帳單以及呈報可疑的行為。

通過PCI DSS安全稽核,無奈還是被駭
只要通過安全認證或國際標準,就不會發生資安事件,這是錯誤的觀念。正如通過國內在推動一些安全認證方面不遺餘力,可惜還是經常有錯誤的認知,第一、安全認證的審核與稽核僅能確保當時的安全制度與程序運作正常,這是在有限的範圍內(就是申請認證的範圍),因此,我們要看的是程序面、制度面、管理面的是否落實;第二、以PCI DSS來說,雖然對於網站、網路、資料安全的要求均比起其他安全認證來得明確,而且是偏向於技術面及實務面上的合理要求,但是這次所發生的資料外洩事件,問題是來自於用戶端的入侵,剛好就在規範之外,因此也有人要求要改進PCI DSS新版的要求,使其更為完整。建議在取得或評估企業安全時,應該從實務面來切入,而不是為了取得認證而作的文字遊戲。從這一類的資安事件也可以看出不同企業在面對這種新型態危機的應變與心態,足以作為國內相關單位之參考。
HPY事件公開網站上之內容
我們仔細地研究了一下 HPY針對此事件所建置的事件公開網站
www.2008breach.com,發現了:
1. 第一件事在網址上完全牽扯不到HPY本身,但是又很明確好記。
2. 發言人以及連絡方式:避免錯誤的訊息傳遞或猜測。
3. 趁機提供End-to-End加密服務:雖還是不能真正解決問題,但是可以提升客戶與夥伴的信任,甚至是幫助合作夥伴通過 PCI。
4. 事件說明以及FAQ 。
5. 對於持卡人的聲明與注意:包含了
(1)2008年的資料外洩事件問題有多嚴重?多少人受害?
我怎麼知道我的資料被盜用?
當我的銀行專員通知我Heartland Payment Systems的資料外洩,這是真的嗎?我該相信嗎?
HPY的回復是,目前還未查明所有資料,所以不論銀行是直接或暗示你,這都不是正確的。
(2)我會被因此被求償嗎?
你不需要為任何偽造詐欺的行為與損失所負責,您可以要求並知會任何可疑的偽造與異常交易,發卡機構將會協助調查。
6. 消費者防詐指南(Consumer Fraud Tips )及相關資源:包含如何運用資源確保信用安全、透過www.annualcreditreport.com申請信用監控等有用的文章與資源
7. 最高層級的簽名