Heartland VD: Kreditkortkryptering behövs

Kreditkortstransaktioner i USA är ofta inte krypterade, och kreditkortsleverantörer, betalningsoperatörer och återförsäljare behöver omfamna en krypteringsstandard för att skydda kreditkortsnummer, säger VD för en överträdd betalningsprocessor måndagen.

Kreditkortsnummer är inte nu nödvändiga i betalkortindustrin riktlinjer som ska krypteras i transit mellan återförsäljare, betalningsprocessorer och kortutgivare, berättade Robert Carr, ordförande och vd för Heartland Payment Systems, en amerikansk senatkommitté. Heartland i januari tillkännagav upptäckten av en dataöverträdelse som lämnade tiotals miljoner kreditkortsnummer utsatta för ett slag av hackare. "Jag vet nu att denna bransch behöver och kan göra mer för att bättre skydda den mot mer och mer sofistikerade metoder som används av dessa cyberkriminella ", sa Carr till senatets hemlandsäkerhets- och regeringsutskottskommitté. "Jag tror att det är kritiskt att genomföra ny teknik, inte bara hos Heartland, utan branschövergripande." Syftet med utskottets utfrågning var dels att avgöra om ny lagstiftning behövs för att bekämpa cyberbrottslighet.

[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]

Heartland driver för kreditkortsindustrin att anta en end-to-end-krypteringsstandard, sa han och företaget sätter in manipulationsresistenta terminaler på sina medlemsförsäljare. "Vårt mål är att helt ta bort betalningskontonumren på kredit- och betalkort och magnetiska banddata så att de aldrig är tillgängliga i ett användningsformat i handels- eller processorsystemen, säger Carr.

Heartland har bett kreditkortsföretag att acceptera krypterade transaktioner och företaget har engagerat standardorgan och krypteringsleverantörer, säger Carr. Företaget har också hjälpt till att bilda ett informationsutdelningsråd för betalningsprocessorer, där företagen kan dela information om hot, sårbarheter och bästa praxis, säger han. "Vi arbetar med dessa lösningar, både tekniskt och kooperativt, eftersom Jag vill inte ha någon annan i vår bransch eller våra kunder eller deras kunder … att bli offer för dessa cyberkriminella ", sa han.

Carr lämnade inte uppgifter om Heartland-brottet, där företaget komprometterades i ungefär ett och ett halvt år. Företaget är fortfarande delaktigt i undersökningar och rättegångar som innebär brott, sade han.

Heartland betalade emellertid cirka 32 miljoner US-dollar under första halvåret 2009 för rättsmedicinska utredningar, lagarbete och andra avgifter som hänförde sig till överträdelsen.

Senatorer frågade Carr några spetsiga frågor om överträdelsen. Senator Susan Collins, en republikan i Maine, ville veta hur företaget skulle kunna äventyras från oktober 2006 till maj 2008 utan att upptäcka överträdelsen. "Jag var förvånad över hur lång tid det gick för att dessa hackare skulle kunna stjäla dessa kreditkortsnummer", sa hon. "Förklara för mig hur ett brott mot den storleken skulle kunna bli oupptäckt så länge."

Kortinnehavare rapporterade inte stora överträdelser, svarade Carr. "Hur överträdelser normalt upptäcks är att bedrägliga användningar av kort är bestämda", sa han. "Det fanns ingen antydan om bedräglig användning av kort som blev uppmärksammade fram till slutet av 2008."

Collins pressade honom vidare. "Men finns det inga datorprogram som man kan använda för att kontrollera om ett intrång har inträffat?" frågade hon.

"Det finns och cyberkriminella är mycket bra på att maskera sig", säger Carr.

Senator Joe Lieberman, oberoende av Connecticut, frågade Carr om omfattningen av överträdelsen., Albert Gonzalez av Miami anklagades i New Jersey för stöld av mer än 130 miljoner kredit- och betalkort, enligt US Department of Justice. Han debiterades, tillsammans med två icke-namngivna samsägare, med att använda SQL-injektionsattacker för att stjäla kredit- och betalkortinformation från Heartland, 7-Eleven och Hannaford Brothers, en Maine-baserad stormarknadskedja. Gonzalez påstod sig skyldig förra veckan för att separera avgifter i Massachusetts och New York.

Det är för tidigt att berätta hur många kreditkortsnummer som behandlats av Heartland blev äventyras, sa Carr. "Vi vet inte omfattningen av bedrägerier vid denna tidpunkt," sa han. "Det är en stor kompromiss."