Global Payments: Neben Kreditkarten- auch Nutzerdaten gefährdet

Der US-Finanzdienstleister Global Payments hat eingeräumt, dass Hacker neben den Daten von 1,5 Millionen Visa- und Mastercard-Konten möglicherweise auch persönliche Nutzerdaten stehlen konnten. Er schränkt das jedoch ein auf „persönliche Informationen, die aus einer Teilmenge von Händlerbewerbungen erfasst wurden“. Unklar sei außerdem, ob die Eindringlinge die persönlichen Informationen nur ansahen oder tatsächlich exportierten. Auf Nachfrage von News.com wollte eine Firmensprecherin keine weiteren Angaben zur Art der Nutzerdaten und der Zahl der möglicherweise betroffenen Personen machen.

Der Zahlungsabwickler beharrt zudem auf den ursprünglich gemachten Angaben zum Umfang der Sicherheitslücke, obwohl sie von Sicherheitsexperten bezweifelt werden: „Nach dem bisherigen Stand der Untersuchung glauben wir weiterhin, dass nur ein begrenzter Teil unserer nordamerikanischen Kartenverarbeitungssysteme betroffen waren, die Zahl der vielleicht tatsächlich exportierten Kartennummern nicht über 1,5 Millionen hinausging und potenzielle Kartenexporte auf Track-2-Daten beschränkt waren.“ Die Track-2-Daten schließen die im Magnetstreifen gespeicherte Kontonummer und das Ablaufdatum ein, aber nicht Namen, Adressen oder Sozialversicherungsnummern der Kreditkarteninhaber.

Diese Angaben hatte Global Payments bereits im April gemacht. Einen Monat später berichtete das Wall Street Journal unter Berufung auf „mit der Angelegenheit vertrauten Personen“ jedoch, dass die Daten von mindestens 7 Millionen Kredit- und Debitkarten potenziell kompromittiert wurden. Sicherheitsexperte Brian Krebs, der die Affäre ursprünglich aufgedeckt hatte, geht davon aus, dass der Hackerangriff bereits im Juni 2011 oder früher erfolgte. Der Fachinformationsdienst Bankinfosecurity datiert den Zwischenfall sogar auf Januar 2011. Global Payments hält es nach dem Stand der Untersuchung für verfrüht, über möglicherweise breitere Zeiträume „zu sprechen oder sie zu bestätigen“.

Mastercard und Visa hatten im April 2012 betroffene Kunden gewarnt und Global Payments von ihrer Liste vertrauenswürdiger Diensteanbieter gestrichen. Der Finanzdienstleister glaubt, den Zwischenfall bewältigt zu haben, und strebt die Wiederaufnahme in die Liste der „PCI Compliant Service Providers“ an. Seine Tätigkeit musste er ohnehin nicht einstellen, sondern wickelte weiterhin Zahlungen ab.

„Wir entschuldigen uns aufrichtig für diesen Zwischenfall und arbeiten sorgfältig daran, unsere Untersuchung zum Abschluss zu bringen“, heißt es in einer Erklärung von Chairman und CEO Paul R. Garcia. „Wir engagieren uns für die restlose Aufklärung aller sich daraus ergebenden Fragen und sorgen natürlich weiterhin für die ununterbrochene Zahlungsabwicklung unserer weltweiten Kunden.“

[mit Material von Elinor Mills, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.