10/7/2018
W 2009 roku wykradziono ponad 100 milionów numerów kart płatniczych z firmy Heartland, procesora płatności. Firma była ubezpieczona w Lexington Insurance Company oraz Beazley Insurance Company i obaj ubezpieczyciele wypłacili Heartlandowi pieniądze z polis (odpowiednio 20 i 10 milionów dolarów) na pokrycie kwoty roszczeń, która w sumie wyniosła 148 milionów.
Teraz obaj ubezpieczyciele chcą odzyskać swój wkład w ten incydent od firmy Trustwave, czyli firmy, która obsługiwała Heartland pod kątem bezpieczeństwa teleinformatycznego i przez 2 lata nie wykryła złośliwego oprogramowania na serwerach Heartland ani luki SQL injection, którą wykorzystano do ataku. A mimo to certyfikowała firmę Heartland pod kątem “rygorystycznej” normy bezpieczeństwa PCI DSS. Choć Heartland nawet nie miał firewalla, korzystał z domyślnych haseł i nie identyfikował jednoznacznie osób, które pracowały w ich systemach.
Trustwave broni się słowami, że kontrakt który miał podpisany z Hreatland nie gwarantował, że firma po wykonaniu testów bezpieczeństwa będzie niepodatna na ataki.
Na koniec dodajmy, że Trustwave był także pozwany w sprawie niewykrycia wycieku kart płatniczych z kasyna, w 2016 roku.
Nazwa firmy mocno ironiczna. ;)
Ciekawy precedens dla ludzi od audytu dostawców. Łatiwej będzie negocjować niektóre zapisy dotyczące bezpieczeństwa informacji w umowach.
BTW. Trustwave szuka ludzi do pracy w Warszawie. Przypadek? :)
Odkad powstalo biuro Trusrwave w Warszawie jakies 5 lat temu, to szukaja pracownikow. I to do wielu działów, technicznych i nie.
Nie zamierzam specjalnie ich bronic, natomiast wiele firm dajacych “certyfikaty” PCI w Stanach nie robi zadnych sensownych testow bezpieczenstwa. Trustwave przynajmniej od jakiegos czasu juz robi calkiem niezle. Kilka lat temu uzywali Nessusa, teraz – nie wiem, ale wyniki tez sa dosc dokladne (ludzie na forach sie skarza na rozne “bezsensowne” podatnosci, ktore dla kogos z Infosec sa calkiem sensowne, np. uzywanie TLS 1.0 czy niezaufane CA w certach).
Natomiast sprawa miala miejsce 10 lat temu. Bedzie trudno dotrzec do danych z tego okresu, jak i ludzi ktorzy wtedy pracowali…