Paiements mondiaux inc., le processeur de cartes de crédit et de débit basé à Atlanta qui a récemment annoncé une violation qui a exposé moins de 1,5 million de comptes de carte, a tenu une conférence téléphonique ce matin pour discuter de l’incident. Malheureusement, cet appel a créé plus de questions que de réponses, du moins pour moi. Le but de cet article est de fournir certaines informations que j’ai recueillies et quelques observations sur le signalement de cette violation jusqu’à présent.
Lors d’une conférence téléphonique ce matin, Paul Garcíaprésident-directeur général de Global Payments (Bourse de New York : GPN), a refusé de fournir quelques nouveaux détails sur la façon dont la violation s’est produite, au-delà des détails que la société a publiés dans son communiqué de presse hier soir. Il a également refusé de commenter les informations selon lesquelles la violation pourrait remonter à au moins janvier 2012. Garcia a souligné que la société avait elle-même signalé et découvert l’intrusion au début du mois de mars, et informé de manière proactive les responsables de l’application des lois et engagé des enquêteurs médico-légaux indépendants.
Interrogé sur la chronologie rapportée pour la première fois par BreachTrace.com vendredi dernier – que Visa et MasterCard mettaient en garde contre un processeur de paiement qui avait été exposé entre le 21 janvier 2012 et le 25 février 2012 – Garcia a déclaré, sans donner plus de détails :
« Il y a beaucoup de rumeurs et d’insinuations qui n’aident personne, et la plupart sont incroyablement inexactes. En ce qui concerne les autres délais, je ne peux tout simplement pas être plus précis à ce sujet.
Il a poursuivi en déclarant que « cela n’implique pas nos commerçants, nos partenaires commerciaux ou leurs relations avec leurs clients. Ni les systèmes marchands ni les dispositifs de point de vente n’ont été impliqués de quelque manière que ce soit. Cela a été auto-découvert et auto-rapporté. Databreaches.net a un bon rafle des détails de l’appel, ainsi que d’autres rapports sur cette violation. Un enregistrement de la conférence téléphonique est disponible ici.
J’aimerais partager quelques réflexions sur mes propres rapports en ce qui concerne cette violation. Tout d’abord, lorsque j’ai publié l’histoire tôt vendredi matin dernier qui est largement considérée comme la première à annoncer la nouvelle d’une grave violation de processeur, à ce moment-là, je ne savais pas avec certitude que Global Payments avait été compromis. Je l’avais entendu d’une source, mais je ne pouvais pas l’obtenir d’une seconde source. Le journaliste de la vieille école en moi a retenu ces détails de mon histoire.
Plusieurs lecteurs m’ont qualifié d’irresponsable pour avoir cité des sources anonymes affirmant que la violation de Global Payments aurait pu affecter plus de 10 millions de cartes. Ce n’est tout simplement pas vrai. Je n’ai même pas mentionné Global Payments dans mon article original. Cette information a été déterrée par des journalistes du Wall Street Journal. En effet, compte tenu des déclarations de GPN jusqu’à présent, je continue d’être harcelé par la possibilité que mon signalement initial ait pu être lié à une violation distincte, non encore divulguée, chez un autre processeur. J’en ai parlé à un journaliste de ABC Nouvelles aujourd’hui, qui a inclus mon point de vue dans une histoire ici.
RUMEUR ET SOUS-INSINE
GPN a déclaré qu’il accorderait une heure pour l’appel et pour les questions, mais il a dit aux appelants au début de la conférence qu’il utiliserait une partie du temps d’appel pour parler de ses revenus du 4e trimestre. Bien que j’aie assisté à l’appel GPN ce matin pendant toute l’heure et attendu dans la file d’attente pour poser des questions, je n’ai pas eu l’occasion. Je n’ai pas non plus entendu les questions autorisées de la part des journalistes des principaux médias d’information cités dans cette histoire. La société n’a pas encore répondu à mes questions, que j’ai soumises lors d’un appel téléphonique après la conférence de presse.
Ce qui suit est une décharge de cerveau partielle sur certaines des informations et des bribes intéressantes que j’ai pu découvrir dans mon reportage d’aujourd’hui, sans ordre particulier. Certains d’entre eux ou tous peuvent s’avérer pertinents pour la violation de Global Payments, pour un incident distinct ou pas du tout.
-Depuis deux ans, GlobalPaymentsInc.com a été hébergé à ASP maximal, un fournisseur d’hébergement à Louisville, KY. Le 20 février 2012, la société a déplacé son site Web vers EC2 d’Amazon service d’hébergement en nuage. MaximumASP a refusé de répondre aux questions sur les raisons possibles du changement, citant les politiques de confidentialité des clients.
-Une source m’a partagé le diagramme suivant, qui donne un peu plus de perspective sur la façon dont ces violations sont généralement perçues par Visa, MasterCard et les processeurs de cartes. Notez que la période des transactions compromises est aussi parfois appelée la « fenêtre des transactions vulnérables ». Il est également important de noter que cette découverte de la violation peut ou non se produire après la date de début de la violation.
-Le New York Times en une histoire publiée samedi ont cité des sources anonymes affirmant que c’était la deuxième fois en un an que Global Payments subissait une violation. J’ai également entendu parler d’un pirate anonyme qui affirme que l’entreprise a été violée juste après le nouvel an en 2011. Le pirate a déclaré que le réseau de l’entreprise était sous contrôle criminel total depuis ce moment jusqu’au 26 mars 2012. « Les données et les quantités qui ont été recueillies [was] bien plus qu’ils n’ont écrit [sic]. Ils ont terminé le chiffrement End2End, mais E2E n’est pas une solution complète ; ça ne fait que défendre [sic] des menaces extérieures. Il a poursuivi en affirmant que les pirates avaient capturé des données du réseau de l’entreprise au cours des 13 derniers mois – collectant les données mensuellement – recueillant des données sur un total de 24 millions de transactions uniques avant qu’elles ne soient exclues.
Lorsqu’on lui a demandé s’il avait des preuves qui étayeraient ses affirmations, le pirate a produit un document Microsoft Word avec le logo de Global Payments intitulé « Disaster Recovery Plan TDS US: Loss of the Atlanta Data Center ». Le document semble avoir été créé le 6 mai 2010 par Raj Thiruvengadamqui selon LinkedIn.com était un administrateur de base de données Oracle basé à Atlanta pour Global Payments de mai 2006 à août 2011.
J’ai demandé à Global Payments s’ils pouvaient vérifier l’authenticité du document, mais je n’ai pas encore eu de réponse de leur part. Je ne le publierai pas, car il contient des informations apparemment sensibles sur les bases de données internes de l’organisation. Une capture d’écran de la page de titre est ci-dessous.
Plus à venir au fur et à mesure que les informations sont disponibles.
