800万信用卡“偷窥”事件

作者:三联生活周刊

(文 / 邱海旭)

800万信用卡“偷窥”事件0

自上周爆出信用卡系统遭黑客侵入事件后,万事达和维萨两大国际信用卡组织已通过非正式渠道告知中国媒体,此次事件不会对中国信用卡用户造成任何影响。信用卡账号泄漏基本只危及贷记卡用户,而整个中国大陆市场贷记卡发放量不超过100万张,相对于美国市场的7亿张,万事达和维萨的自信完全可以理解。

不过记者也通过一些渠道了解到,在万事达受侵入的220万个信用卡账号中,亚太地区用户占0.25%,要保证中国用户万无一失,恐怕无论万事达还是维萨都不敢过早夸下海口。至少在它们发给中国媒体的正式声明中,两大组织都只简单介绍了事件的经过,并未提及对中国用户有何侵害。

万事达在声明中称:“今年2月初,一名电脑黑客攻破了一家负责代表商家处理信用卡交易业务的企业的数据库,一些持卡人(包括万事达卡持有者在内)的账户信息可能受到入侵……万事达卡国际组织安全与风险管理部门立即通过其安全警报系统通知有关发卡银行,并已就如何采取防范措施提出建议。我们将继续与银行保持联系,并随时将最新进展告诉它们。”除万事达与维萨外,另一大信用卡巨头美国运通也未能幸免,三大组织被侵入的信用卡账号总数超过800万张,绝对构成有史以来最大的信用卡资料泄密事件。

受客户协约的约束,万事达和维萨迄今为止都不肯透露那家受黑客攻击的“第三方”身份,但FBI的深入调查却让它们的守约行为变得毫无意义。2月19日,位于内布拉斯加州奥哈马市的国际账务处理公司(Data Processors International)通过其发言人承认,该公司正是那个被攻陷的“第三方”。国际账务处理公司称,在侦测到电脑安全系统遭破坏后,该公司在第一时间通知了信用卡发卡组织,并向有关当局报案。

对于泄密事件的危害程度,迄今尚未有正式评估报道。而侵入者究竟只掌握了信用卡卡号,还是已窥得更多资料,万事达和维萨都未给予进一步澄清。业内人士估计,由于国际账务处理公司主要为购物网站提供收单结算服务,因此外泄的资料很可能还包括有效日期和交易记录等内容,甚至用户家庭住址和电话号码也有可能被黑客掌握。根据这些资料,犯罪集团完全有能力对信用卡加以伪造。不过至少到目前为止,万事达和维萨仍应感到庆幸,它们在事件发生后对受威胁账号加强了监控,尚未接获一宗盗刷报告。随着平安无事状态的延长,有人甚至认为这次事件将以黑色喜剧的形式结束,因为也许黑客本人并不知道他获得的资料价值,也许他只是个偶尔手痒的天才中学生。

不过只有傻瓜才会把希望寄托在“无意侵入”的假设上。为彻底杜绝隐患,一些发卡机构已开始为受影响用户更换新卡,花旗银行和苏格兰皇家银行旗下的普罗维登斯国民金融集团都已宣布将注销并换发各约8000多张信用卡。万事达和维萨则一再向信用卡用户强调,根据用户协议中的“零责任”条款,即使信用卡账号被盗用,用户也不必承担任何损失。

然而一些消费者保护组织仍表示出相当程度不满,它们指出,很多用户都期望了解黑客以何种方式侵入信用卡系统、网上支付的风险究竟有多大,以及信用卡资料被盗可能造成的危害,但这些信息万事达和维萨提供得极不充分。此外只有少数发卡银行承诺为用户更换信用卡,大部分发卡机构都持观望态度,甚至并不通知被盗账号的持有者。因为换发一张信用卡的成本为25美元,这笔费用将完全由发卡机构承担,如果800万张信用卡全部进行更换,发卡机构将为此损失上亿美元。这就意味着对绝大多数用户来说,他们将无从得知自己的账户资料究竟是否受到盗用者威胁。

一些分析师预测,此次事件将使持卡人网上购物的热情遭到打击,comScore Networks副总裁米歇尔·大卫·亚当斯(Michelle David Adams)说:“网上购物者现在过于看重便利和折扣,对安全问题却相当漠视。”在过去5年中,超过1000万信用卡账号被盗,2001年美国金融业因信用卡盗窃损失的金额高达15亿美元。

对中国人来说,关于信用卡盗用的概念更为模糊,原因很简单,中国仍属于尚未开发的信用卡市场,在国内银行已经发放的46800万张银行卡里,真正具有循环信用的贷记卡只占0.1%左右,不过这并不意味信用卡安全在中国就无需特别关注。

万事达与维萨两大组织都已宣布,将在今年向国内银行推广贷记卡,据预测,未来3到5年,中国大陆信用卡潜在用户人数将占到总人口的10%~15%。中国社科院金融研究所副所长何德旭在接受采访时说:“这次黑客入侵事件告诉我们,建立在网络高科技基础上的信用卡支付体系风险是不可避免的,而在一个全球性系统内,盗窃信用卡账户的罪行往往也是全球性的,中国持卡人不可能置身于外。”

专访万事达卡亚太区安全与风险管理部门负责人

就此次黑客事件,记者与万事达卡亚太区安全及风险管理部门负责人Esmond Chan先生取得了联系。但对记者提出的中国大陆有多少持卡者受到影响、潜在危害将持续多久等问题,Esmond Chan先生未作正面回答。

问:面对日益猖獗的信用卡犯罪,万事达有哪些防范机制来保障用户利益?

答:以亚太区为例,我们在该地区7个国家、地区设有安全风险应对小组,实行全天候待命,能随时为发卡机构提供防范信用卡犯罪的帮助。万事达亚太区预警中心对该地区所有万事达卡支付交易进行24小时监控,一旦发现欺诈盗用行为发生能立即向成员机构通报。最近万事达与其合作伙伴在马来西亚成功试验了最新、最先进的用户识别系统Magneprint,通过推广这套系统,万事达将更有信心确保持卡人、网上商户和金融机构在网上进行安全支付。

问:亚太地区信用卡使用的安全形势如何?

答:根据去年7月底的统计,亚太地区信用卡欺诈案件比2001年同期减少了30%,几个信用卡犯罪最严重的国家占该地区所有案件数量的70%~80%,但即便是这些国家,信用卡盗用率也普遍低于欧美国家。目前信用卡犯罪的重心正向韩国、菲律宾转移,印度尼西亚面临的威胁也越来越大。最近一次万事达亚太地区反欺诈论坛在上海召开,与会的政府金融管理官员、金融机构代表和万事达官员达成的一个共识是,尽管信用卡犯罪在亚太地区并非不严重,但要吸取欧美教训,在信用卡使用迅速普及的情况下,加强协作,防范信用卡犯罪高潮。

问:亚太地区信用卡犯罪的形式主要有哪些?

答:伪造信用卡仍然是亚太地区信用卡犯罪的主要方式,同时也令该地区金融机构蒙受了很大的损失。目前在亚太地区信用卡犯罪造成的损失中,伪造信用卡占55%,信用卡偷窃占30%。