logo

Laut TJX begann die Verletzung von Kundendaten im Jahr 2005

Der Einzelhandelsriese TJX, zu dessen Geschäften die Discounter-Bekleidungsketten T.J. Maxx und Marshalls sagten gestern, dass sich eine Computersicherheitsverletzung 10 Monate früher erstreckte, als das Unternehmen ursprünglich angenommen hatte, und die Kredit- und Debitkartendaten, Führerscheinnummern sowie Namen und Adressen kompromittiert hatte.

Die Ankündigung unterstreicht einen Trend zu Sicherheitsverletzungen im Zusammenhang mit sensiblen Kreditkartendaten und spiegelt das Versäumnis wider, Computersysteme ordnungsgemäß zu sichern, Kunden bei Verstößen zu benachrichtigen und Gesetze für das Zeitalter der Cyberkriminalität zu aktualisieren, sagten Gesetzgeber und Analysten.

TJX sagte, dass, während es zunächst dachte, dass das Eindringen von Mai 2006 bis Januar 2007 stattfand, jetzt auch sein Computersystem im Juli 2005 und an „verschiedenen nachfolgenden Daten“ in diesem Jahr gehackt wurde. Das Unternehmen, das den Einbruch im Januar gemeldet hatte – einen Monat nachdem es den Verstoß entdeckt hatte – hat nicht gesagt, wie viele Kunden möglicherweise betroffen waren oder wie viele Kunden es benachrichtigt hat.

»Wir haben dort keine Nummer für Sie. Unsere Arbeit ist noch nicht abgeschlossen“, sagte Sprecherin Sherry Lang gestern. Mehr als 50 Computerexperten helfen TJX, die Verstöße zu untersuchen, sagte sie.

können sich deine schläuche von selbst lösen

Banken, die die Kreditkarten ausgestellt haben, haben nicht angegeben, wie viel sie an Betrugsschäden decken mussten.

In mehr als 30 Bundesstaaten gibt es Gesetze, die Unternehmen verpflichten, Kunden so schnell wie möglich zu benachrichtigen, wenn ein Verstoß aufgetreten ist. Eine parteiübergreifende Gruppe von Senatoren hat Gesetze wieder eingeführt, die eine Kundenbenachrichtigung vorschreiben und Unternehmen, die personenbezogene Daten speichern, verpflichten, interne Richtlinien zu deren Schutz festzulegen.

'Amerikaner leben in einer Welt, in der mit nur wenigen Tastenanschlägen auf einem Computer auf ihre sensibelsten persönlichen Daten zugegriffen und sie an den Meistbietenden verkauft werden können, aber unsere Datenschutzgesetze haben nicht Schritt gehalten', Senator Patrick J. Leahy (D -Vt.) sagte in einer Erklärung, als die Gesetzgebung diesen Monat wieder eingeführt wurde.

Die Kreditkartenindustrie hat Regeln für den Datenschutz aufgestellt, den sogenannten Payment Card Industry Data Security Standard. Dazu gehören die Verschlüsselung der Übertragung von Karteninhaberdaten, das regelmäßige Testen von Sicherheitssystemen und -prozessen und die Beschränkung des Zugriffs auf Daten auf diejenigen, die es wissen müssen.

Aber die meisten großen Einzelhändler haben den Standard nicht eingehalten, und bei kleineren Einzelhändlern liegt die Nichteinhaltung bei etwa 80 Prozent, sagte Avivah Litan, Analyst bei Gartner, einem Forschungsunternehmen für Informationstechnologie.

wie man flüssiges Chlorophyll trinkt

Litan sagte, die Einzelhändler seien nicht allein schuld. 'Es ist ein kollektives Problem mit kollektiver Verantwortung', sagte sie. 'Natürlich müssen die Einzelhändler ihre Systeme straffen, aber die Banken müssen die Authentifizierung der Karteninhaber stärken, damit selbst ein Diebstahl der Daten nutzlos ist.'

Sicherheitsverletzungen sind schwer genau zu quantifizieren. Das Privacy Rights Clearinghouse, eine gemeinnützige Forschungs- und Interessenvertretung in San Diego, sagte, dass seit Februar 2005 mehr als 100 Millionen Datensätze von US-Bürgern durch Sicherheitsverletzungen aufgedeckt wurden.

Die Datenschutzgruppe und das gemeinnützige Identity Theft Resource Center, ebenfalls in San Diego, fanden heraus, dass die meisten Verstöße, die sie in den letzten Jahren verfolgt haben, in der Regierung, beim Militär und in Universitäten aufgetreten sind.

Einer der größten Verstöße ereignete sich im Jahr 2005, als 40 Millionen Kreditkartennummern zusammen mit Namen und Kontoinformationen von Hackern aufgedeckt wurden, die in CardSystems Solutions einbrachen, ein Kreditkartenverarbeitungszentrum, das den Zahlungstransfer zwischen den Kreditkarten ausstellenden Banken abwickelte und die Banken der Kaufleute.

Einzelhändler speichern oft mehr Daten als nötig, um Transaktionen zu verarbeiten, sagte Litan. Sie bewahren Informationen auch länger als nötig auf, sagte sie.

„Die CEOs und leitenden Angestellten der meisten Einzelhändler, die Daten speichern, wie TJX, haben keine Ahnung, dass sie diese Daten speichern“, sagte Litan. 'Es ist im Grunde ein Erbe der alten Systemprogrammierung.' Viele Händlersysteme wurden in den 70er und 80er Jahren gebaut, bevor es Hacker gab.

Steigung Gewichtsverlust Ergebnisse

Viele Banken sind frustriert, weil sie 'für die Fehler der Einzelhändler bezahlen müssen', um die Neuausstellung von Karten und Verluste aufgrund von Betrug zu decken, sagte Nessa Feddis, Senior Federal Counsel der American Bankers Association.

'Einzelhändler schützen die Daten nicht', sagte sie. »Es geht nicht um eine Benachrichtigung. Es ist eine Verantwortung, die Daten zu schützen.'

Aufgrund von Vertraulichkeitsvereinbarungen zwischen den Einzelhändlern und den ausstellenden Kartenunternehmen wie Visa und MasterCard kennen die Bankiers in der Regel nicht das Ausmaß der Verstöße von Einzelhändlern.

In Massachusetts, wo TJX seinen Hauptsitz hat, hat die Massachusetts Bankers Association die Befragung ihrer Mitglieder im Zusammenhang mit dem TJX-Verstoß eingestellt, nachdem mehr als 30 Banken von Visa und Master Card darüber informiert wurden, dass ihre Karten durch das Eindringen von TJX kompromittiert wurden, sagte der Sprecher des Verbands, Bruce Spitzer .

TJX betreibt mehr als 2.400 Geschäfte in den USA, Kanada und Europa. Sie akzeptieren Kreditkarten von Visa, MasterCard, American Express und Discover.

wie man das Ausdünnen der Haare umkehrt

Das Unternehmen gab gestern bekannt, dass die Umsätze im selben Geschäft im vierten Quartal gegenüber dem Vergleichsquartal des Vorjahres um 5 Prozent gestiegen sind. Das Quartal endete am 27. Januar, 10 Tage nach Bekanntwerden des Verstoßes.

TJX, das von Kunden und Banken verklagt wird, berichtete außerdem, dass es im vierten Quartal 5 Millionen US-Dollar ausgegeben habe, um die Kosten der Untersuchung zu decken, die Computersicherheit zu verbessern und mit Kunden zu kommunizieren.

Der Gewinn im vierten Quartal ging um 29 Prozent auf 205,5 Millionen US-Dollar zurück. Der Umsatz stieg um 9 Prozent auf 5,1 Milliarden US-Dollar. Im gesamten Geschäftsjahr stieg der Gewinn von TJX um 7 Prozent auf 738 Millionen US-Dollar. Der Umsatz stieg um 9 Prozent auf 17,4 Milliarden US-Dollar.