11:38
10/7/2018

W 2009 roku wykradziono ponad 100 milionów numerów kart płatniczych z firmy Heartland, procesora płatności. Firma była ubezpieczona w Lexington Insurance Company oraz Beazley Insurance Company i obaj ubezpieczyciele wypłacili Heartlandowi pieniądze z polis (odpowiednio 20 i 10 milionów dolarów) na pokrycie kwoty roszczeń, która w sumie wyniosła 148 milionów.

Teraz obaj ubezpieczyciele chcą odzyskać swój wkład w ten incydent od firmy Trustwave, czyli firmy, która obsługiwała Heartland pod kątem bezpieczeństwa teleinformatycznego i przez 2 lata nie wykryła złośliwego oprogramowania na serwerach Heartland ani luki SQL injection, którą wykorzystano do ataku. A mimo to certyfikowała firmę Heartland pod kątem “rygorystycznej” normy bezpieczeństwa PCI DSS. Choć Heartland nawet nie miał firewalla, korzystał z domyślnych haseł i nie identyfikował jednoznacznie osób, które pracowały w ich systemach.

Trustwave broni się słowami, że kontrakt który miał podpisany z Hreatland nie gwarantował, że firma po wykonaniu testów bezpieczeństwa będzie niepodatna na ataki.

Na koniec dodajmy, że Trustwave był także pozwany w sprawie niewykrycia wycieku kart płatniczych z kasyna, w 2016 roku.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

3 komentarzy

Dodaj komentarz
  1. Nazwa firmy mocno ironiczna. ;)

  2. Ciekawy precedens dla ludzi od audytu dostawców. Łatiwej będzie negocjować niektóre zapisy dotyczące bezpieczeństwa informacji w umowach.
    BTW. Trustwave szuka ludzi do pracy w Warszawie. Przypadek? :)

  3. Odkad powstalo biuro Trusrwave w Warszawie jakies 5 lat temu, to szukaja pracownikow. I to do wielu działów, technicznych i nie.
    Nie zamierzam specjalnie ich bronic, natomiast wiele firm dajacych “certyfikaty” PCI w Stanach nie robi zadnych sensownych testow bezpieczenstwa. Trustwave przynajmniej od jakiegos czasu juz robi calkiem niezle. Kilka lat temu uzywali Nessusa, teraz – nie wiem, ale wyniki tez sa dosc dokladne (ludzie na forach sie skarza na rozne “bezsensowne” podatnosci, ktore dla kogos z Infosec sa calkiem sensowne, np. uzywanie TLS 1.0 czy niezaufane CA w certach).
    Natomiast sprawa miala miejsce 10 lat temu. Bedzie trudno dotrzec do danych z tego okresu, jak i ludzi ktorzy wtedy pracowali…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: