Det amerikanska företaget Network Solutions har hackats och en halv miljon konto- och kreditkortsuppgifter kan ha stulits. Företaget uppger att de blev certifierade enligt PCI-DSS hösten förra året.
Network Solutions säljer paketerade och konfigurerbara webbsajter inklusive betalningslösningar. Kunderna är typiskt mindre företag. Deras erbjudande om Shopping Cart Software for Online Stores lovar:
"Quickly build your online store with ecommerce design templates. No programming skills required."
"Secure Credit Card Processing. Accept payments in real time through encrypted online transactions for increased security."
Ett vettigt alternativ som jag själv skulle rekommendera mindre affärsverksamheter som vill sälja på nätet. Under förutsättning att leverantören är PCI-certifierad.
Enligt deras egen beskrivning av hacket så har någon lyckats injicera elak kod i modulen för nätbetalningar vilket gjort att över 4000 nätbutiker har läckt kortuppgifter när deras kunder betalat. Låter som lagrad XSS. Intrånget kan ha skett så tidigit som i mars och upptäcktes först i juni.
Summa:
4000 nätbutiker hackade i tre månader
500.000 kortuppgifter på vift
... Mamma Mia!
Men hur går det nu med PCI-certifieringen? Ja, först måste en forensisk undersökning genomföras. Om den visar att Network Solutions inte följt PCI-DSS-kraven mellan mars och juni i år så är de rökta oavsett vilka certifieringar de har. Om det dessutom visar sig att sårbarheten fanns redan när Payment Software Company gjorde sin PCI-granskning i oktober 2008 så lär det bli en snackis.
Inga kommentarer:
Skicka en kommentar