Os alertas chegaram aos responsáveis bancários de forma discreta, mas acabaram por ser revelados nesta sexta-feira por Brian Krebs, um antigo jornalista do Washington Post, no seublogue dedicado à segurança. Horas depois, a história chegava ao Wall Street Journal, que escrevia por sua vez que a falha de segurança tinha sido responsabilidade da Global Payments. O que conduziu a uma queda superior a 9% no valor das acções daquela empresa de processamento de cartões.
A Global Payments, que diz liderar o seu segmento de mercado, informou, através de um comunicado, que “identificou e reportou o acesso não autorizado a parte do seu sistema de processamento” no início de Março. Foi então que avisou a Visa e a Mastercard, para permitir “minimizar o potencial impacto” nos clientes. A empresa não especifica o tipo de dados comprometidos, mas admite que a acção de hackers esteja na base desta falha.
Segundo Brian Krebs, o processador da Global Payments manteve-se vulnerável de 21 de Janeiro a 25 de Fevereiro. O número que está a ser avançado de clientes potencialmente envolvidos – mais de 10 milhões – é referido no seu blogue. No entanto, nenhuma das três empresas afectadas pela falha de segurança se compromete com qualquer número.
Além da Visa e da Mastercard, também foi afectada parte dos clientes da Discover, a terceira maior empresa do sector. São as três norte-americanas. A Discover está, segundo a BBC, a monitorizar as suas contas e, se necessário, irá proceder à emissão de novos cartões. A Visa e a Mastercard, por outro lado, asseguram que os dados dos seus clientes não foram comprometidos – e referem as sucessivas camadas de segurança que aplicam aos seus cartões. Mas também estão a investigar.
No alerta endereçado aos bancos, a Visa – que remete todas as responsabilidades pela falha a “terceiros”, ou seja, a Global Payments – refere que a investigação “ainda está na fase inicial”. No entanto, a acreditar na Global Payments, esta já decorre há quase um mês. A empresa diz que, no início de Março, deu conta do problema às autoridades federais e deu início à sua própria investigação, “envolvendo imediatamente peritos externos em análise forense de tecnologias da informação”.
Nesta fase, os especialistas estão a cruzar os dados de utilização dos cartões de crédito das três empresas, no período afectado, para tentar encontrar padrões ou dados coincidentes – o que significa que estão convencidos de que a falha de segurança se deve à acção dehackers e não ocorreu devido a problemas no sistema.