Kreditkartenbetrug blieb 14 Monate unbemerkt

Der Payment-Dienstleister CardSystems kommt immer mehr in Bedrängnis. Bereits seit dem Frühjahr vergangenen Jahres hätten sich Hacker Zugriff zu den Datensätzen des Unternehmens verschafft, heißt es jetzt in einem Bericht der Merrick Bank, die mit Hilfe von CardSystems Händlerzahlungen abwickelt. Eine Spezialfirma für Computerforensik habe auf den Servern der Firma Spuren für illegale Aktivitäten entdeckt, die auf den April 2004 zurückgehen.

Wie die Revisionsfirma weiter berichtet, habe CardSystems außerdem Transaktionsdaten einbehalten – entgegen der Richtlinien von Visa USA. CardSystems-CEO John Perry gab die Vorwürfe teilweise zu. Man habe im September vergangenen Jahres entdeckt, dass nicht berechtigte Dritte ein Script – beziehungsweise eine Befehlsabfolge – auf der CardSystems-Plattform platziert hatten. Dafür nutzen sie eine Internet-basierte Applikation, die von den Kunden für den Datenzugriff benutzt wird.

Durch das Script wurden Dateien entnommen und komprimiert an eine FTP-Seite übertragen. Im Mai wurden mit Hilfe des Scripts 263.000 Dateien aus dem System des Dienstleisters exportiert. Um die Details des Transaktion zu untersuchen, habe man die entsprechenden Daten gespeichert – und damit die Richtlinien von Visa und Mastercard verletzt, so Perry.

Erst vor wenigen Tagen hatten Visa USA und American Express ihre Zusammenarbeit mit CardSystems beendet. Bei ihr waren Hacker an rund 40 Millionen Datensätze von Kredit- oder Kundenkarten gelangt. Die Sicherheitspanne bei CardSystems war im Juni bekannt geworden.