SEC, FTC badające Heartland po kradzieży danych

Grafika: Diego AguirreFederalne agencje, w tym amerykańska Federalna Komisja ds. Handlu i amerykańska Komisja Papierów Wartościowych i Giełd, zaczęły badać Heartland Payment Systems po masowym naruszeniu danych w firmie zajmującej się przetwarzaniem płatności.

Prezes firmy i dyrektor finansowy Robert Baldwin Jr. ujawnił dochodzenie podczas kwartalnego połączenia konferencyjnego Heartland z badaczami we wtorek, mówiąc, że SEC przeprowadził nieformalne dochodzenie w sprawie spółki i że dochodzenie w tej sprawie również prowadzi Departament Sprawiedliwości. Biuro Departamentu Skarbu USA kontrolującego walutę (OCC), które reguluje banki krajowe i ich dostawców usług, rozpoczęło dochodzenie, jak powiedział FTC.

Heartland został również trafiony klasą pozew dotyczący naruszenia, który został ujawniony publicznie w dniu 20 stycznia. "Możemy w przyszłości zostać poddani innym dochodzeniom i śledztwom rządowym" - powiedział Baldwin podczas zaproszenia. "Chcemy energicznie bronić wszelkich roszczeń wysuwanych przeciwko nam."

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Hakerzy mogli włamywać się do systemów Heartland i zbierać niezaszyfrowane dane o transakcjach kart płatniczych, które firma przetwarzana w imieniu swoich klientów handlowych. Kupcy z około 250 000 lokalizacji, w tym sklepy detaliczne, stacje benzynowe i hotele, korzystają z usług Heartland. Heartland nie wie, jak długo hakerzy byli w stanie wykraść informacje o karcie kredytowej lub ile kart zostało dotkniętych.

W ostatnich miesiącach co najmniej trzy firmy przetwarzające karty kredytowe, w tym Heartland, padły ofiarą wyrafinowanych ataków przestępczych, w wyniku czego miliony skompromitowanych kart płatniczych. Jeden z pozostałych procesorów kart, RBS WorldPay, utracił dane na 1,5 miliona klientów. Trzecie włamanie do nienazwanego procesora płatności zostało ujawnione w zeszłym tygodniu.

OCC może interesować się naruszeniem, ponieważ może być częścią większego problemu dla sektora bankowego, powiedział Avivah Litan, analityk z Gartner Research. "Uważam, że gang przestępczy, który atakował Heartland, jest ukierunkowany na wielu procesorów płatności i stanowi poważne zagrożenie dla integralności systemów płatniczych", powiedziała.

W środę rzecznik Heartland nie mógł powiedzieć, dlaczego SEC prowadzi dochodzenie w sprawie Firma

Jednakże dochodzenie może dotyczyć transakcji giełdowych dokonanych przez prezesa i dyrektora generalnego Heartlanda, Roberta Carr, po tym, jak Visa poinformowała Heartland o podejrzanej działalności w dniu 28 października 2008 r. Według informacji poufnych, Carr sprzedał za niecałe 8 milionów USD zapasów między 29 października a dniem ujawnienia naruszenia. Akcje Heartland inwestowały w zakres od 15 do 20 USD za większość tych transakcji, ale spadły po ujawnieniu naruszenia. Zamknęła się w środę na 5,49 USD.

Podczas konferencji Car Carr powiedział, że jego zawody były częścią planu 10b5-1, zapoczątkowanego w sierpniu - na kilka miesięcy, zanim Heartland wiedział o jakichkolwiek problemach - aby spłacić swój osobisty dług, i że przestał sprzedawać akcje, gdy tylko firma wykryła złośliwe oprogramowanie w swoich systemach w nocy z 12 stycznia. "Nie miałem żadnej dyskrecji co do warunków i terminów sprzedaży", powiedział.

Carr sprzedał nieco ponad 900 000 jego 5,8 miliona akcji przed wyciągnięciem wtyczki na plan 10b5-1 w styczniu, powiedział Heartland.

FTC nie jest niczym niezwykłym, jeśli chodzi o śledzenie naruszeń danych i wykorzystywanie jego uprawnień do poszukiwania kar lub restytucji przez konsumenta w wyniku naruszenia danych. ChoicePoint osiągnął 15 mln USD rozliczenia FTC w 2006 r. Po tym, jak złodzieje tożsamości uzyskali dostęp do 165 000 rekordów klientów w bazie danych firmy.

David Shettler, dyrektor ds. Technologii w wolontarystycznej fundacji Open Security, powiedział, że dochodzenia rządowe pomogą klientom Heartland i partnerzy biznesowi rozumieją, co się dzieje. "Istnieje wiele pytań bez odpowiedzi" - powiedział. "Bankowcy w całym kraju są coraz bardziej sfrustrowani, ponieważ ponoszą koszty ponownego wydania tych kart i nie otrzymują zbyt wielu informacji."

"Bankierzy biorą na siebie ten ciężar w swoim czasie i gospodarki, w której banki nie robią tak dobrze", powiedział Shettler.

W 2007 roku Stowarzyszenie Bankerów Massachusetts pozwało sprzedawcę The TJX Group, poszukując dziesiątek milionów dolarów w rekompensatach dla banków, które zostały zmuszone do wznowienia kart kredytowych po tym, jak hakerzy ukradli informacje o kartach kredytowych od amerykańskiego sprzedawcy detalicznego. Pozew został rozstrzygnięty po tym, jak Visa i TJX utworzyły fundusz w wysokości 40,9 miliona dolarów, aby zrekompensować bankom.

Nieoficjalna transkrypcja połączenia Heartland znajduje się tutaj.