15Systèmes de paiement Heartland
Mars 2008
Impact: 134 millions de cartes de crédit exposées
Détails: Au moment de la violation, Heartland traitait 100 millions de transactions par carte de paiement par mois pour 175 000 commerçants – pour la plupart des petites et moyennes enseignes. le une brèche a été découverte en janvier 2009, lorsque Visa et MasterCard ont informé Heartland de transactions suspectes provenant de comptes qu’elle avait traités. Les attaquants ont exploité une vulnérabilité connue pour effectuer un Injection SQL attaque. Les analystes de la sécurité avaient averti les détaillants de la vulnérabilité pendant plusieurs années et cela a fait de l’injection SQL la forme d’attaque la plus courante contre les sites Web à l’époque.
En raison de la violation, l’industrie des cartes de paiement (PCI) a jugé Heartland non conforme à ses Norme de sécurité des données (DSS) et ne lui a pas permis de traiter les paiements des principaux fournisseurs de cartes de crédit avant mai 2009. La société a également payé environ 145 millions de dollars en compensation pour les paiements frauduleux.
La violation de Heartland est un exemple rare où les autorités ont attrapé l’attaquant. Un grand jury fédéral a inculpé Albert Gonzalez et deux complices russes anonymes en 2009. Gonzalez, un Américain d’origine cubaine, aurait dirigé l’organisation internationale qui a volé les cartes de crédit et de débit. Il a été condamné en mars 2010 à 20 ans de prison fédérale.
