Ars Technica - Amazon in Visa sta stopila korak nazaj od lanske napovedi, da od 19. januarja letos na britanskem Amazonu ne bo več možno plačevati z Visinimi kreditnimi karticami. Podjetji delata na morebitni rešitvi, zato v sredo na Otoku še ne bo mrka Visinih kartic.

Razlog so provizije. Odkar je Velika Britanija zapustila Evropsko unijo, provizije pri kartičnih plačilih niso več strogo regulirane, zaradi česar sta jih Visa in Mastercard pošteno dvignila. Visa zaračunava v povprečju 1,3-1,5 odstotka, kar je nekajkrat več od preteklih provizij (0,2-0,3 odstotka). Amazon se je zato odločil, da izkoristi svojo moč in ukine to možnost plačevanja. Ker gre za največjega trgovca na svetu, bi imelo to otipljive posledice za Viso, ki se je takoj pričela pogovarjati.

MasterCard in American Express v Veliki Britaniji v sodelovanju Amazonom nudita tudi posebni kartici, Visa pač ne. Zato ni presenetljivo, kaj je Amazon sprva predlagal kot alternativo. MasterCard ima že sedaj 62-odstotni tržni delež, Visa...

Slo-Tech - Amazon je svojim strankam sporočil, da od 19. januarja dalje ne bodo mogle več uporabljati kreditnih kartic Visa, ki so bile izdane na Otoku. Razlog je seveda preprost, in sicer finančen. Provizije, ki se plačujejo ob plačilu s kartico, so po Amazonovih besedah previsoke. To je povezano z izstopom Velike Britanije iz Evropske unije, zaradi česar je v začetku leta Visa dvignila provizije (interchange fees). Podobno je storil tudi MasterCard, saj od brexita za Otočane ne velja več evropska omejitev teh provizij.

Še vedno bo moč uporabljati debetne kartice, vključno z Visinimi, in kreditne kartice izdajateljev MasterCard in American Express. Tudi kreditne kartice Visa, ki so bile izdane izven Velike Britanije, bodo normalno delovale. So pa v Amazonu strankam z Otoka ponudili 20 funtov dobropisa, če naslednji nakup že sedaj plačajo kako drugače kot z Visinimi kreditnimi karticami.

Visa je odločitev komentirala z razočaranjem, da Amazon omejuje izbiro potrošnikom. Ob tem so jeli...

Slo-Tech - Najnovejša žrtev hekerskega napada je registrar domen in ponudnik gostovanja Web.com ter njegovi hčerinski družbi NetworkSolutions.com in Register.com. Neznani napadalci so avgusta letos pridobili dostop do nekaj računalnikov v njihovem omrežju, od koder so imeli omogočen dostop do osebnih podatkov nekaterih strank. Preiskava je pokazala, da so odtujili osebne podatke: imena, naslove telefonske številke, elektronske naslove in podatke o naročenih storitvah. Številke kreditnih kartic so shranjene v šifrirani obliki, zato niso bile kompromitirane. Prav tako napadalci niso dobili gesel, ki bi jim omogočala celo prenos domen.

Web.com, ki so ga ustanovili leta 1999 na Floridi, je eden vodilnih ponudnikov gostovanja in registrar domen, ponuja pa še oblikovanje strani in spletni marketing. Da so bili avgusta tarča vdora, so ugotovili šele 16. oktobra letos, ko so začeli incident tudi preiskovati. Za zdaj podrobnosti ne razkrivajo, strankam pa svetujejo preventivno zamenjavo gesel. Prav...

Financial Times - Precej časa je trajalo, da smo plačilne kartice z magnetnim zapisom nadgradili v takšne s čipom, kjer istovetnost dokazujemo z vnosom številke (PIN), pa še pri tem so onstran Atlantika v ogromnem zaostanku. Na tej strani Luže pa se MasterCard spogleduje z identifikacijo s prepoznavanjem obraza in branjem prstnih odtisov. V Veliki Britaniji in še nekaterih državah (med njimi Italija, Nemčija, ZDA) bodo že poleti poizkusno uvedli tovrstno identifikacijo, saj so pilotni preizkusi na Nizozemskem in v ZDA dali pozitivne rezultate.

Sistem se bo imenoval Selfie Pay in bo uporabnikom omogočal, da namesto vnosa PIN-a pogledajo v pametni telefon za prepoznavo obraza in oddajo prstni odtis, če bodo seveda namestili ustrezno aplikacijo. Najprej bodo morali na MasterCardove strežnike prenesti svojo sliko, ki se bo uporabljala kot...

SecurityWeek - Ameriški trgovec Home Depot je podal prve ocene, kolikšno škodo je povzročil hekerski vdor v njihove trgovine po vsej Severni Ameriki. Neznani storilci so od aprila do odkritja vdora 2. septembra ukradli 56 milijonov številk kreditnih kartic.

V medijsko odmevnem napadu na Target so storilci prizadeli več kot 70 milijonov strank, a so odtujili le okrog 40 milijonov številk kreditnih kartic. V napadu na Home Depot so prizadete stranke iz ZDA in Kanade, medtem ko v Mehiki napad ni potekal. Home Depot ima v vseh treh državah skupno več kot 2200 trgovin.

Varnostni analitik Brian Krebs trdi, da so napadalci uporabili novejšo različico programa BlackPOS, ki so ga zelo verjetno uporabili že v napadu na Target. Home Depot za...

Slo-Tech - Raziskovalec iz Hewlett-Packarda Matt Oh je na Ebayu kupil rabljen POS-terminal, da bi si ogledal, kako so ti zavarovani. POS-terminali namreč niso poceni - za tega je odštel 200 dolarjev - zato sploh manjši trgovci in gostinci večkrat kupijo rabljene. Na njem je našel cel kup varnostnih pomanjkljivosti in osebne podatke še iz prejšnje uporabe.

Izbral je POS-terminal s priljubljenim sistemom Aloha proizvajalca NCR. Gre za enega največjih proizvajalcev, pred katerim je le Oraclov Micros System. Oh je ugotovil, da je sistem malomarno zaščiten. Kupljeni POS je bil v omrežju pri prodajalcu glaven (master, glej skico) in se je povezoval s centralnim strežnikom, a deluje tudi brez...

Slo-Tech - Spletni vmesniki za dostop do elektronske pošte, družabnih omrežij in podobno nas že sedaj dodatno povprašajo o identiteti, če zaznajo prijavo z IP-naslova, ki pripada geografsko zelo oddaljeni lokaciji od sicer za nas običajne. Ker so zlorabe plačilnih kartic enako problematične, bi lahko nekaj podobnega storili tudi tu, je ugotovil ameriški operater AT&T.

Nekatere banke oziroma kartični centri že sedaj ob uporabi kartice v oddaljeni državi pokličejo in vprašajo, ali smo res tam. Druge gredo celo tako daleč, da transakcijo preventivno zavrnejo. Slednji problem je zlasti pogost v ZDA, kjer so plačilne kartice še vedno brez čipov, kar pomeni, da je zloraba res zelo enostavna - potrebujemo le magnetni zapis. Da bi...

The Wall Street Journal - Po bitki je enostavno biti general, a vseeno nekateri napadi in vdori razkrijejo, da so bile nekatere ranljivosti znane že dosti pred dejansko zlorabo, pa nihče ni ukrepal. Podobno je bilo tudi v primeru vdora v Target, s katerim so napadalci uspeli odtujiti bančne in osebne podatke več kot 110 milijonov strank. IT-oddelek v podjetju je na ranljivosti (ne nujno dejansko zlorabljene) opozarjal že dva meseca pred napadom, piše Wall Street Journal. Pojavljale so se tudi zahteve po temeljitem pregledu in preizkusu sistema, a so jih nadrejeni zavrnili, poročajo viri iz podjetja.

To ni presenetljivo, saj so v začetku lanskega leta ameriška vlada, ameriški CERT in zasebna podjetja za IT-varnost...

Krebs On Security - Programsko orodje BlackPOS, ki so ga za zdaj še neznani napadalci uporabili pri kraji številk kreditnih kartic in magnetnih zapisov ameriškemu trgovcu Target, so varnostni strokovnjaki prečesali podolgem in počez. Ugotavljajo, da gre za zelo sofisticiran kos programske opreme.

Sprva se je v medijih pisalo, da je BlackPOS memory scrapper, torej da spremlja vsebino pomnilnika in shranjuje uporabne informacije. To je načeloma res, a BlackPOS je zelo dodelan in izbirčen (tehnične podrobnosti). Verzija, ki so jo napadalci uporabili v Targetu, je bila prilagojena tamkajšnji programski opremi, saj je točno vedela, kje v pomnilniku so podatke s kartice in je shranjevala izključno številke kreditnih kartic in magnetni zapis z...

The New York Times - Po zelo resnem vdoru v računalniški sistem ameriške trgovske verige Target, s katerim so napadalci odnesli osebne podatke 110 milijonov strank, se je tudi vdor v Neiman Marcus izkazal za resnejšega od prvotnih ocen. Napadalci so dobili 1,1 milijona podatkov, priznava Neiman Marcus.

Napadalci so dobili 1,1 milijona številk kreditnih kartic, ki so jih že hitro prodali dalje, kar je že privedlo do prvih zlorab. Visa, MasterCard in Discover so trgovsko mrežo Neiman Marcus že obvestili, da so na 2400 karticah, ki so jih kupci med 16. julijem in 30. oktobrom lani, ko je potekal napad, odkrili nezakonite transakcije. Preiskava kaže, da so napadalci uporabili enako programsko opremo kot pri napadu na Target. Gre za programe, ki...

Slo-Tech - Znane postajajo podrobnosti o hekerskem napadu na ameriškega trgovca Target, ki je po dosedanjih informacijah terjal osebne podatke 110 milijonov strank. Oglasil se je predsednik in izvršni direktor Targeta Gregg Steinhafel ter pojasnil nekaj podrobnosti o napadu.

Target je za napad izvedel v nedeljo, 15. decembra lani, in se takoj lotil čiščenja računalniških sistemov, le nekaj dni pozneje pa so obvestili tudi javnost. Napadalci so pred 27. novembrom, ko se je napadal začel, uspeli pridobiti dostop do POS-terminalov in nanje namestiti zlonamerno programsko opremo.

Reuters poroča, da so v tem primeru neznanci uporabili program, ki se imenuje RAM scraper. Gre za način napada, ki se je prvikrat pojavil že daljnega leta 2009, sedaj pa postaja čedalje...

The New York Times - Na dan so pricurljale informacije, da je bil decembrski hekerski napad na ameriškega trgovca Target bistveno obsežnejši, kot so sprva zatrjevali. Že prvotne navedbe so bile zaskrbljujoče, saj so napadalci dobili bančne podatke vsaj 40 milijonov kupcev, in sicer imena imetnikov kartic, številke kartic, datume veljavnosti, kode CVV in šifrirane kode PIN. Sedaj pa ugotavljajo, da je bilo prizadetih okoli 110 milijonov kupcev, o katerih so jim ušli še drugi podatki.

Target je v izjavi za javnost priznal, da so neznanci med napadom odtujili tudi nekatere druge podatke o kupcih. Poleg omenjenih 40 milijonov imetnikov kartic, so napadalci dobili imena, elektronske naslove, telefonske številke in domače naslove vsaj 70 milijonov drugih kupcev. Pravijo, da gre v večini...

The New York Times - Ameriško državno tožilstvo je javnosti razkrilo obtožnico zoper osmerico (vodja je bil sicer najden mrtev v Dominikanski republiki, tako da jih ostaja sedem), ki je decembra in februarja izvedla enega največjih bančnih ropov v zgodovini. Toda to pot niso uporabljali mask ali pištol, temveč se je vse dogajalo v računalnikih. V ropu so si pridobili 45 milijonov dolarjev protipravne premoženjske koristi.

Napad je bil načrtovan s kirurško natančnostjo. Decembra so vdrli v strežnike neimenovanega...

Krebs On Security - V petek je na spletu odjeknila novica, da so bile v ZDA izpostavljene številke več kot 10 milijonov kreditnih kartic, ki sta jih izdala Visa in MasterCard. Po poročanju KrebsOnSecurity in Wall Street Journala, ki sta se prva dokopala do novice, naj bi neznani napadalci odtujili podatke o obeh magnetnih zapisih (Track 1 in Track 2) na karticah, kar bi jim omogočilo izdelavo fizičnih duplikatov za dvigovanje gotovine na bankomatih. Opravljanje spletnih transakcij pa je tako ali tako mogoče že samo s poznavanjem številke kartice in trimestne varnostne kode.

Danes je natančno znano, kaj se je zgodilo, in da škoda ni bila velika. Neznani napadalci so med 21. januarjem in 25. februarjem vdrli v...

Ars Technica - Skupina romunskih hekerjev je v ZDA od leta aprila 2008 do maja letos neovirano kradla številke kreditnih kartic v več kot 150 franšizah Subwayja in še približno 50 drugih manjših prodajalcih, je razvidno iz nedavno odpečatene obtožnice. V tem času so nakradli več kot tri milijone dolarjev in pridobili bančne podatke več kot 80.000 žrtev. Zgodba pa je toliko bolj vznemirjujoča, ker je napad neodkrito potekal tako dolgo in ker so uporabili povsem osnovne tehnike, kar priča o izjemno slabi zaščiti trgovcev pred zlorabami.

Napadalci so s prosto dostopnimi orodji preverili, ali imajo POS-sistemi (skenirali so celotne bloke IP-naslovov) napadenih trgovcev odprta nekatera vrata (port), ki se tipično uporabljajo za oddaljeni dostop do sistemov (remote access). Ko so jih našli, so poizkusili...