PCI安全標準2005年開始實施，具體包括了安裝防火墻和防病毒軟件，更改默認口令，加密數(shù)據(jù)傳輸(在公共網絡環(huán)境下)等。其目的在于保護持卡人的數(shù)據(jù)，減少被盜的風險，或即使被盜后也難以被盜竊者使用。但在PCI實施后的這十年中，銀行卡數(shù)據(jù)被盜的事件依然頻頻發(fā)生，令人無奈的是，許多當事公司還通過了PCI安全標準的合規(guī)認證。

下面本文就和大家一起回顧，近十年來最大的10起銀行卡數(shù)據(jù)泄露事件：

1. CardSystems Solutions-4000萬

CardSystems Solutions是亞利桑那州一家已經消失的信用卡公司，并永遠保留了其第一名的榮譽。該公司在2002年《加利福尼亞入侵告知法》通過后，成為首個被入侵的企業(yè)?！陡嬷ā芬笃髽I(yè)在用戶的敏感信息被盜后，要告知用戶。

入侵者在該公司的網絡上放置了一個惡意腳本，用以嗅探銀行卡的交易數(shù)據(jù)。最終竊取了約4000萬銀行卡信息，包括姓名、卡號和安全碼。CardSystem雖然在2004年6月就通過了PCI標準合規(guī)的認證，但它還是違規(guī)存儲了交易完成后未經加密的交易數(shù)據(jù)。該起入侵事件發(fā)生于2005年5月。

2. TJX-9400萬

TJX只是被阿爾伯特·岡薩雷斯和一個俄羅斯黑客團伙黑掉的眾多零售商之一。他們在2007年使用戰(zhàn)爭撥號(war-dialing)的手法侵入了TJX的網絡，他們開車經過企業(yè)的辦公室，車上裝有天線的筆記本電腦運行一個特殊的程序，以掃描無線網絡。然后通過無線網絡，進入到TJX的銀行卡數(shù)據(jù)傳輸網絡。同樣，TJX的傳輸網絡也沒有加密。

最初的入侵在2005年7月，到直到2006年12月才發(fā)現(xiàn)這次入侵。之后這伙黑客又進行了第二次、第三次入侵……最終導致了該零售商2.56億美元的損失。

3. 哈特蘭德支付系統(tǒng)-1.3億

這是阿爾伯特·岡薩雷斯和他的俄羅斯同伙犯下的又一件驚天大案。在零售商TJX的身上嘗到甜頭之后，這些黑客很快意識到銀行卡公司的油水更大。哈特蘭德每個月要處理25萬筆支付交易，約1億張卡片信息。

該公司在2008年10月意識到可能被入侵，但在3個月之后才確定此事。攻擊者在哈特蘭德的一臺服務器上安裝了嗅探程序，避開了調查取證人員的檢測。

哈特蘭德在入侵事件發(fā)生前，已經6次通過了合規(guī)認證。該此入侵導致了該公司在罰款、法律事務和其他事務上的花費超過1.3億美元，幾乎等同于其泄露的銀行卡信息-1.3億張。

4. RBS WorldPay-150萬

從數(shù)量上來看，150萬張銀行卡信息的泄露與上面的事件相比，只是小巫見大巫，但RBS可不是零售商或傳統(tǒng)的支付服務商。首先，RBS是蘇格蘭皇家銀行的主要支付服務提供商，再者它還提供電子支付業(yè)務，包括電子福利轉賬和預付卡(如代替支票的無紙化工資發(fā)放)業(yè)務。

RBS于2008年11月發(fā)現(xiàn)遭到入侵，攻擊者訪問了100張工資卡的賬戶并提高了賬戶余額和每日提款上限，最高的一個賬戶提款上限被提到50萬美元。然后組織一批取款人把卡片上的信息復制到提款用的偽造銀行卡中，通過全球范圍的合作，在12小時內全球2000臺自動取款機上劫走了950萬美元。

5. 巴恩斯和諾寶-數(shù)量未知

巴恩斯和諾寶是美國最大的實體書店，全球第二大網上書店。該書店的入侵事件是歷史上第一次針對POS機的入侵事件。事件發(fā)生一年后，官方仍未提供入侵的細節(jié)以及泄露的銀行卡數(shù)量。到現(xiàn)在只知道FBI于2012年9月開始介入調查，在63家分店的POS機上發(fā)現(xiàn)了復制卡片信息的惡意軟件。惡意軟件是如何安裝到POS機上的，至今還不得而知。

6. 加拿大信用卡盜竊團伙

在巴恩斯和諾寶事件發(fā)生前幾個月，加拿大發(fā)生了一起企圖篡改POS終端機，以盜竊700萬美元的事件。警方稱該盜竊團伙位于蒙特利爾，其行動如同軍事行動一樣精確，分發(fā)克隆的銀行卡給各地的同伙。該團伙曾在取款機上安裝復制銀行卡信息的設備，并且盜竊餐館和零售店的的POS機在上面安裝嗅探程序，然后再歸還回去。這群黑客把偷來POS機在汽車或旅館里進行改裝后，可以用藍牙隔空從POS機上抓取數(shù)據(jù)，整個改裝過程僅需1個小時。

警方認為，有內部人員收受賄賂為這個團伙打開方便之門。

7. 印度和美國的不知名銀行卡服務商-數(shù)量未知

在與RBS類似的一起入侵事件中，黑客侵入了美國和印度的幾家不知名的銀行卡服務商。他們提高了預付費賬戶的余額，把卡片信息分發(fā)給提款人，從世界各地的取款機上取走了4500萬美元。

8. Cisero’s Ristorante and Nightclub-數(shù)量未知

Cisero’s Ristorante and Nightclub是一家娛樂餐飲公司。實際上，它是否被入侵現(xiàn)在都不得而知，更不用說知道它可能丟失的銀行卡信息的數(shù)量了。這家猶他州的小型家族式企業(yè)之所以上榜是因為它的“以弱勝強”之戰(zhàn)。它反對支付卡行業(yè)對被未能證實被入侵企業(yè)的不公正罰款。

2008年3月，維薩(Visa)通知美國銀行Cisero's的網絡可能被入侵，因為在該餐館使用過的銀行卡被發(fā)現(xiàn)用于在其他地方進行欺詐消費。得知此事后，Cisero's雇用了兩家公司調查取證，但均未發(fā)現(xiàn)任何被入侵或銀行卡信息被盜的證據(jù)。然而，審計人員的確發(fā)現(xiàn)該餐館的POS終端機存儲未加密的顧客賬戶號碼，違反了PCI標準。依據(jù)標準，維薩和萬事達對負責自銀行卡交易的美國銀行和支付處理方Elavon開出了9.9萬美元的罰款，并沒有對商家和零售商罰款。但美國銀行和Elavon從該餐館的銀行賬戶中強行扣除了1萬美元。

2. 環(huán)匯支付有限公司-150萬

這家位于亞特蘭大的支付處理方，在2012年2月聲稱被入侵。同年4月，維薩警告此次入侵事件很可能早在2011年就已經發(fā)生，并影響到11年6月7日之后發(fā)生的交易。全球支付的首席執(zhí)行官加西亞在隨后召開的投資者會議上聲稱，由于公司目前安全措施的作用，此次入侵影響的范圍很小。全球支付因此事大約損失9400萬美元，一小半用于支付罰款和欺詐損失，一大半用于調查和彌補。

1. 下一次-未知

如同死亡和稅收，下一次銀行卡入侵事件，不可避免。