11:38
10/7/2018

W 2009 roku wykradziono ponad 100 milionów numerów kart płatniczych z firmy Heartland, procesora płatności. Firma była ubezpieczona w Lexington Insurance Company oraz Beazley Insurance Company i obaj ubezpieczyciele wypłacili Heartlandowi pieniądze z polis (odpowiednio 20 i 10 milionów dolarów) na pokrycie kwoty roszczeń, która w sumie wyniosła 148 milionów.

Teraz obaj ubezpieczyciele chcą odzyskać swój wkład w ten incydent od firmy Trustwave, czyli firmy, która obsługiwała Heartland pod kątem bezpieczeństwa teleinformatycznego i przez 2 lata nie wykryła złośliwego oprogramowania na serwerach Heartland ani luki SQL injection, którą wykorzystano do ataku. A mimo to certyfikowała firmę Heartland pod kątem “rygorystycznej” normy bezpieczeństwa PCI DSS. Choć Heartland nawet nie miał firewalla, korzystał z domyślnych haseł i nie identyfikował jednoznacznie osób, które pracowały w ich systemach.

Trustwave broni się słowami, że kontrakt który miał podpisany z Hreatland nie gwarantował, że firma po wykonaniu testów bezpieczeństwa będzie niepodatna na ataki.

Na koniec dodajmy, że Trustwave był także pozwany w sprawie niewykrycia wycieku kart płatniczych z kasyna, w 2016 roku.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

3 komentarzy

Dodaj komentarz
  1. Nazwa firmy mocno ironiczna. ;)

  2. Ciekawy precedens dla ludzi od audytu dostawców. Łatiwej będzie negocjować niektóre zapisy dotyczące bezpieczeństwa informacji w umowach.
    BTW. Trustwave szuka ludzi do pracy w Warszawie. Przypadek? :)

  3. Odkad powstalo biuro Trusrwave w Warszawie jakies 5 lat temu, to szukaja pracownikow. I to do wielu działów, technicznych i nie.
    Nie zamierzam specjalnie ich bronic, natomiast wiele firm dajacych “certyfikaty” PCI w Stanach nie robi zadnych sensownych testow bezpieczenstwa. Trustwave przynajmniej od jakiegos czasu juz robi calkiem niezle. Kilka lat temu uzywali Nessusa, teraz – nie wiem, ale wyniki tez sa dosc dokladne (ludzie na forach sie skarza na rozne “bezsensowne” podatnosci, ktore dla kogos z Infosec sa calkiem sensowne, np. uzywanie TLS 1.0 czy niezaufane CA w certach).
    Natomiast sprawa miala miejsce 10 lat temu. Bedzie trudno dotrzec do danych z tego okresu, jak i ludzi ktorzy wtedy pracowali…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.