近日，万事达公司在一份新闻稿中公布一条震惊全球的消息：4000万信用卡用户的信息可能被窃。这次事件涉及到1390万名万事达客户、2200万Visa 客户以及数量不详的美国运通和Discover客户。

通过侵入一家结算处理公司的计算机，黑客显然偷走了20万张信用卡和借记卡账户的数据，并可能访问了4000万名信用卡的信息。万事达信用卡国际公司发言人Jessica Antle证实，不过，此次安全违规事件的根源是CardSystems公司，一家为数家信用卡处理交易的第三方公司。

Antle说，此次安全违规事件涉及一种计算机病毒。这种病毒为欺诈窃取顾客数据，可能影响到所有品牌信用卡用户。他表示，黑客可能利用了该公司系统的漏洞，进入了该公司的网络并获取了客户的信息。

尽管Antel说顾客不必为身份偷窃担心：“社会保险号、出生日期以及诸如此类的信息根本就没有保存在信用卡上。”但来自各国的评估和欺诈性交易报告显示，此次用户信息被窃已经导致了欺诈性交易：一些用户信用卡出现了高档产品消费。

美国联邦调查局（FBI）已开始调查此事。

泄漏发生在数周前

据《New York Times》报道，这次安全违规事件可以追溯到4月中旬，当时万事达国际公司注意到异常的欺诈消费。《New York Times》援引CEO John M. Perry的话说，被偷窃的记录因“研究目的”保存在CardSystems公司的一个计算机文件中。

《New York Times》援引他的话说：“我们不应当这样做。” 使用保存记录的研究涉及确定一些交易为什么未过经授权或不完整的原因。

万事达公司在透露这次事件时说，此次安全违规事件发生在CardSystems设在亚利桑纳州 Tuscon市的运营中心。据CardSystems发表的声明说，FBI是在5月23日被告知此事的。该公司在声明中说，公司已经部署了一位调查安全审计员建议的改进的和额外的安全程序。

CardSystems每年为105000多家中小企业处理交易，并且每年为MasterCard、Visa、Discover和American Express以及在线借款处理150亿美元的交易。

同时，安全厂商Secure Computing公司在这次安全事件透露后发现了第一起在主题行中借用万事达名义警告电子邮件用户的网页钩鱼欺诈。最初的欺诈似乎显得是仓促上阵，因为它没有提到这次安全事件，可能是改头换面的老骗局。Secure Computing预测未来几天欺诈骗局将继续出现，可能还会变得更加狡滑，尤其在主标行或内容中提到最新的重大安全事件新闻时。

Secure Computing公司公关经理David Burt说：“消费者肯定应当知道。”这次涉及众多信用卡公司的引起广泛关注的最新安全违规事件，无疑将成为美国国会未来辩论的主题。美国国会已有20多项从这样或那样角度涉及身份偷窃的议案在酝酿中。

Forrester公司分析师Paul Stamp说，公开披露CardSystems安全违规事件（尽管是在事件发生的数周后披露的）可能在某种程度上是对加州参议院有关隐私与个人信息的1386法案的反应。他说，未来应当出现对这类事件更多的披露。

他说：“这类事件肯定会发生。它们可能过去一直在发生。”现在不同是公众要求有人承担责任。 CardSystems无疑有很多问题需要回答。《New York Times》报道说，被盗的数据没有被加密，并且信用卡公司发表声明说CardSystems没有遵守他们的恰当的安全要求。

黑客能量越来越大

这并没有使实现这种偷窃所需要的技术变得那么不同异常。

公开透露的有关对CardSystems Solutions公司的攻击情况的信息没有多少。FBI和这家公司都对这次黑客行动的细节缄口不言。当被问及公司115名雇员中是否有人与此案有关时， CardSystems公司高级营销副总裁Bill Reeves告诉美联社说，公司“目前不能排除任何情况”。当记者逼迫他详细说明时，他说，由于正在进行的调查，他不能发表评论。

即使如此，目前了解的情况足以使计算机安全专家做出有根据的推测。

安全研究人员说，信用卡盗贼在线社区在利用金融网络弱点上越来越精明。甚至常常被嘲笑为“脚本小子”的恶作剧者，都可以从一大堆容易得到的工具中，剪切、粘贴发动攻击所需要编程代码――甚至不必理解它们的工作原理。

TraceSecurity 公司首席技术官Jim Stickley说：“我认为脚本小子就可以干这件事。我不认为这有多难。”在公布这次泄密事件时，MasterCard说有人在CardSystems 的网络中植入了一种类似于病毒的程序。CardSystems随后承认泄露的数据因“研究目的”被不当地保存，而不是在交换完成后删除。

如果这种“研究”涉及将数据转移到CardSystems网络不太安全的部分――也许说，使CardSystems程序员可以在真正的信用卡记录上进行试验――使用常规探测系统寻找软肋的外部人员可能发现了这些文件。IBM公司金融服务实践风险与遵从性解决方案主管Jonathan Rosenoer说：“现在你每一次Internet连接都会遭到数百次攻击。”

TraceSecurity公司首席技术官Jim Stickley给出了一种简单的情景：某人可以向一位CardSystems雇员发送一封内有与假在线贺卡链接的电子邮件。这个链接将带来预期的跳舞的小狗或其他他欢快的场面，而在背后，一个“特洛伊木马”程序会在计算机上扎下根，准备向外部人员转发信息。由于木马程序通过通常为Web浏览留下的通信端口进入计算机，攻击将不会被入侵检测软件发现或被防火墙阻止。

旧金山计算机安全协会主任Robert Richardson说，目前出现了越来越多的释放特洛伊木马的自动工具以及其他入侵复杂系统的工具。“他们非常快地沿食物链升级。”Postal Service and Citigroup公司前信用卡欺诈调查员Tom Kelly说，CardSystems黑客活动似乎是一个老练团伙的杰作。这个团伙准确地知道要拿哪类文件。

黑客背后的黑市

黑客盗窃信用卡信息的背后是利润可观的黑市。

据报道，一些信用卡账号已经在俄罗斯的网站上出售，一些消费者已经在对账单中发现了欺诈性交易。“我们看到在俄罗斯的一些聊天室，很多人在谈论电子犯罪集团的此次重大胜利。”iDefence公司的技术人员称。

实际上，出售这些信用卡信息可以让黑客赚得巨款。据网上欺诈分析师估计，每个万事达卡即便账号价值42美元。金卡，比如上限较高的白金或黄金卡则售价会高达70美元。

一些用户也发现欺诈性消费，银行已将在加拿大、英国和亚洲的一些可疑的消费活动通知给了持卡人。