חשיפת עשרות אלפי כרטיסי האשראי על ידי ההאקרים הסעודים, מעלה די הרבה שאלות שאף אחד לא שואל. מי אחראי למחדל? ולמה? אבל יותר חשוב, מי ישלם וכמה? ויהיו גם השלכות עתידיות מאת: עמית מנדלזון הפרטים כבר ידועים וגלויים: 18 אלף מספרי כרטיסי אשראי ופרטיהם האישיים המלאים של בעליהם נחשפו לכל דיכפין, כנראה על ידי האקרים […]
פחות מדקהזמן קריאה: דקות
חשיפת עשרות אלפי כרטיסי האשראי על ידי ההאקרים הסעודים, מעלה די הרבה שאלות שאף אחד לא שואל. מי אחראי למחדל? ולמה? אבל יותר חשוב, מי ישלם וכמה? ויהיו גם השלכות עתידיות
מאת: עמית מנדלזון
הפרטים כבר ידועים וגלויים: 18 אלף מספרי כרטיסי אשראי ופרטיהם האישיים המלאים של בעליהם נחשפו לכל דיכפין, כנראה על ידי האקרים סעודים, לא ממש חובבי ישראל. 18 אלף הוא המספר לאחר הסרת כפילויות, מה שמוכיח שהנתונים הללו נגנבו ישירות מאתר מכירות. מדוע שומר אתר מכירות את כל נתוני העסקאות שלו על הרשת? שתי סיבות עיקריות:
– כי הצוות הטכני שלו עצל מדי מכדי להוריד את בסיס הנתונים הרגיש כל כך מהרשת למחשב ולמחוק מהרשת;
– כי הוא מניח שהלקוחות שלו עצלים מדי מכדי להקליד בכל רכישה, פעם נוספת את פרטיהם, והוא כביכול חוסך להם עבודה.
קורן תרשיש מנהל שרותי האחסון "דובל", שמאחסן את האתרים שנפרצו, טוען שהפורצים נכנסו אל האתרים הללו דרך אתר שלישי שלא נבנה על-ידי חברתו ואינו מוגן. כמובן שמדובר בטיעון מטופש, שכן אם החברה בונה את האתרים וגם מאחסנת אותם ולא רק אותם, הרי שאם לא היתה מודעת לעובדה שאפשר להיכנס דרך החלון הפתוח למרות שהדלת נעולה – אין לה זכות קיום.
תרשיש מציין שהאתרים הלא מאובטחים מאוחסנים על שרת משותף עם המאובטחים. ומכיוון שכך, נשאלת השאלה: מדוע הסכימו בעלי אתרים מכובדים ורגישים לחלוק שרת עם אתרים אחרים? סביר להניח שהתשובה היא: כסף. שרת עצמאי מאובטח יקר יותר.
אבטחת אתר רגיש מחייבת בידודו. אין חיה כזו "אתר מאובטח" אם הוא לא יושב על שרת מאובטח, וכדי שהשרת יהיה מאובטח צריך ספק האחסון לוודא שכל האתרים המאוחסנים עליו יהיו מאובטחים ונקיים משורות קוד זדוניות.
אז מה בעצם המשמעות של גניבת כרטיסי אשראי ומי משלם על זה? לא הגולשים. בעל הכרטיס מוגן בפני גניבת הכרטיס או הנתונים המוטבעים בו. כל מה שעליו לעשות הוא להתכחש לעסקה, דהיינו לומר לחברת האשראי: "מצטער לא אני קניתי", למען האמת הוא גם לא צריך להוכיח זאת. אז מי בסופו של דבר ישלם את החשבון? חוץ מחברות הביטוח – הנפגע העיקרי יהיה בעל בית העסק בו נרכשו המוצרים באמצעות מספר הכרטיס הגנוב.
זה שנים מחתימות כל חברות האשראי את בתי העסק על הסכם סליקה דרקוני, בו מופיע סעיף שנקרא: "רכישה ללא נוכחות כרטיס". מדובר בסעיף שהוא בבחינת "כיסוי ישבן", במסמך שהוא בעצם חוזה מגביל ואחיד. דהיינו מגביל את בית העסק, אבל לא מאפשר לו ללכת למתחרה שכן לכולם אותו חוזה בדיוק.
הסעיף אומר בשפה פשוטה: כאשר התבצעה רכישה ללא נוכחות הכרטיס (דהיינו טלפונית או דרך האינטרנט) הרי שלחברת האשראי אין את הכלים לוודא ששם הלקוח אכן תואם את בעל הכרטיס (טיעון שאינו מתקבל על הדעת) ולכן בעל העסק (שלו, לטענת חברת האשראי, יש יותר כלים לוודא אם אכן האדם הנכון עומד מאחורי הרכישה) הוא האחראי במקרה של הונאה ומחויב לשלם לחברת האשראי את מחיר הרכישה, למרות שאת המוצר כבר שלח.
המציאות היא שבעל העסק שלח את המוצר, הפקיד את שוברי הרכישה בבנק ורק שלושה עד שישה חודשים מאוחר יותר מתברר לו שבעל הכרטיס האמיתי מתכחש לרכישה. עד אז הנוכל נעלם, המוצר אבד והנזק נגרם.
למרות העוול שבדבר, בתי המשפט עומדים מאחורי חברות האשראי, והסיטואציה הבעייתית כבר פגעה אנושות במאות אלפי עסקים קטנים, והשאירה את שוק המכירות על האינטרנט בעיקר לחברות עם גיבוי פיננסי רציני.
מי שניצל את המצב הוא חברות סליקה כמו Pay Pal שמאפשרות תשלום בכרטיסי אשראי בלי כאבי הראש והסיכונים, וגובות עמלות בהתאם.
מגפון עיתון ישראלי עצמאי
5 בינואר 2012 @ 19:39
[…] הגנובים על האינטרנט. ההאקר הסעודי שאחראי היה להפצה הגדולה של פרטי כרטיסי אשראי גנובים, שזיעזעה את הלקוחות התמימים בתחילת השבוע, מכה […]