At en hacker har kunnet få adgang til kortnumrene på op mod 40 millioner kreditkort skyldes sikkerhedsfejl hos det firma, der behandler betalingsdata for blandt andre Mastercard.
Det var atypiske transaktioner, der i april førte et sikkerhedsfirma på sporet af, at der var ugler i mosen hos Cardsystems.
Klasse A brøler
Nu viser det sig, at Cardsystems for det første opbevarede 200.000 kreditkortnumre på en computer til "researchmæssige formål", hvilket var en klasse A brøler.
? Det skulle vi ikke have gjort, erkender John M. Perry, administrerende direktør, Cardsystems til avisen The Times.
Dernæst var de stjålne data ikke krypteret, hvilket er i strid med reglerne på området, og flere af kreditkortfirma-kunderne hævder, at Cardsystems ikke fulgte de korrekte sikkerhedsprocedurer.
Det amerikanske Federal Bureau of Investigation (FBI) er gået ind i sagen, der også omfatter europæiske kreditkortkunder.
Fik navne og kontonumre
Tyvene fik fat på navne, kontonumre og verifikationskoder, der kan bruges til at gennemføre falske køb. Men ikke sygesikringsnumre og fødselsdatoer, som skal bruges for at stjæle vedkommendes identitet.
Cardsystems er et af mange firmaer, der håndterer elektroniske betalinger. Virksomheden håndterer ifølge sin hjemmeside transaktioner til en værdi af 91 milliarder kroner om året for mere end 105.000 små og mellemstore virksomheder.
Cardsystems er langt fra alene om at have problemer med at holde følsomme data for sig selv.
I de seneste måneder har blandt andre Bank of America, Wachovia, data brokers Choicepoint og Lexisnexis og University of California og Stanford University mistet data på grund af egne og andres fejl.