SEC, FTC Undersök Heartland efter datatält

Konstverk: Diego AguirreFederal byråer, inklusive USA: s federala handelskommission och US Securities and Exchange Commission, har börjat undersöka Heartland Payment Systems efter en omfattande överträdelse av betalningsbearbetningsföretaget.

Företagets verkställande direktör och finanschef Robert Baldwin Jr. avslöjade undersökningarna under Heartlands kvartalssamtal med utredare tisdag och sade att SEC hade lanserat en informell utredning om företaget och att det också finns en relaterad utredning av justitieministeriet. Den amerikanska avdelningen för statskassans kontor för valutaövervakaren (OCC), som reglerar nationella banker och deras tjänsteleverantörer, har lanserat en förfrågan, liksom FTC, sa han.

Heartland har också träffats med en klass -aktionssökande som hänför sig till överträdelsen, som offentliggjordes den 20 januari. "Vi kan i framtiden bli föremål för andra offentliga undersökningar och utredningar", sade Baldwin under samtalet. "

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Hackers kunde bryta sig in i Heartlands system och samla okrypterade data på betalkortstransaktioner som företag som behandlas på uppdrag av sina köpkunder. Merchants på cirka 250 000 platser, inklusive butiker, bensinstationer och hotell, använder Heartlands tjänster. Heartland vet inte hur länge hackarna kunde stjäla kreditkortsuppgifter eller hur många kort som berördes.

Under de senaste månaderna har minst tre kreditkortsföretag, inklusive Heartland, blivit utsatta för sofistikerade kriminella attacker som resulterade i miljontals kompromissbetalningskort. En av de andra kortbehandlarna, RBS WorldPay, förlorade data på 1,5 miljoner kunder. En tredje hack, vid en anonym betalningsprocessor, avslöjades förra veckan.

Treasurys OCC kan vara intresserad av överträdelsen eftersom det kan vara en del av ett större problem för banksektorn, säger Avivah Litan, en analytiker med Gartner Research. "Jag tror att det kriminella gänget som riktar sig till Heartland riktar sig mot flera betalningsoperatörer och det är ett allvarligt hot mot betalningssystemens integritet," sade hon.

En hjärtlandsspokesman kunde inte säga varför SEC undersökte företag.

Undersökningen kan emellertid relatera till aktieaffärer som gjorts av Heartlands ordförande och koncernchef Robert Carr efter Visas anmälde Heartland av misstänkt aktivitet den 28 oktober 2008. Enligt insiderhandeln sålde Carr knappt 8 miljoner US-dollar av lager mellan 29 oktober och dagen då överträdelsen avslöjades. Heartlands aktiehandel handlade om $ 15 till $ 20 för de flesta av dessa transaktioner, men det sjönk efter överträdelsens upplysningar. Det stängdes onsdagen på 5,49 dollar.

Under konferenssamtalet sa Carr att hans affärer var en del av en plan 10b5-1 som inleddes i augusti - månader innan Heartland kände till några problem - att betala sin personliga skuld och att han slutade sälja aktier så snart företaget upptäckte skadlig programvara på sina system på natten den 12 januari. "Jag hade inget utrymme för skönsmässig bedömning vad gäller försäljningsvillkoren eller tidpunkten", sa Carr.

Carr sålde drygt 900.000 av hans 5,8 miljoner aktier innan han tog pluggen på 10b5-1-planen i januari, säger Heartland.

Det är inte ovanligt för FTC att undersöka dataöverträdelser och använda sin befogenhet att söka påföljder eller konsumentersättning efter överträdelser av uppgifter. ChoicePoint nådde en FTC-uppgörelse på 15 miljoner dollar 2006 efter att identitetstjuvar fått tillgång till 163 000 konsumentrekord i företagets databas.

David Shettler, chefstekniker med volontärkörningen Open Security Foundation, sa att regeringsundersökningar kommer att hjälpa Heartlands kunder och affärspartners förstår vad som händer. "Det finns många obesvarade frågor," sa han. "Bankers runt om i landet blir frustrerade eftersom de måste ta ut kostnaderna för att skicka tillbaka dessa kort, och de får inte mycket information."

"Bankerna bär det här i en tid och en ekonomi där bankerna inte gör så bra", sade Shettler.

År 2007 stämde Massachusetts Bankers Association säljaren TJX Group, som söker tiotals miljoner dollar i ersättning för banker som tvingades återutbetala kreditkort efter hackare stal kreditkortsinformation från US-återförsäljaren. Den kostnaden avgjordes efter att Visa och TJX inrättat en $ 40,9 miljoner fond för att kompensera banker.

Ett inofficiellt urval av Heartlands samtal finns här.