印度银行近日接获数起用户投诉其借记卡(debit card)在中国遭盗用的案例,疑似因银行系统在一个月前被植入恶意程序,使得用户资料及账户遭窃。目前已有高达320万张借记卡恐受影响,各大银行纷纷要求客户更改密码或更换新卡。
据印度《经济时报》(Economic Times)报导,此事件或将是印度史上最大宗金融数据外泄事件之一。在所有可能被侵入的借记卡中,约有260万张由国际两大信用卡机构 Visa 和万事达卡(MasterCard)发行,另有60万张由 RuPay 发行。该国受影响最大的发卡银行为印度国家银行(State Bank of India)、HDFC 银行(HDFC Bank)和 YES 银行(YES Bank)等。
印度国家支付公司(National Payments Corporation)资深官员指出,此数据外泄事件发生在1个月前,肇因于印度多家银行的自动柜员机(ATM)所使用的日立支付服务(Hitachi Payment Services)系统被植入恶意软件,让黑客得以窃取银行借记卡客户的信息及存款。
该官员重申此事件起因与银行无关,且该恶意软件已被侦测并处理。印度支付委员会(Payments Council of India)也表示,目前已下令查核银行的伺服器和相关系统,包括风险最高的 Visa和万事达卡,以侦测攻击用户账户的来源。印度金融支付安全专家(SISA)组织的成员也正参与这起案件调查,并指出检测恶意软件大约需要6个星期。
我们强大的系统是绝对安全的,没有任何安全漏洞。客户可以继续安全地使用他们的借记卡。这是发生在整个银行卡产业的事件(不只发生在印度国家银行上)。
多家银行纷纷向用户保证其系统安全无虞,但仍建议采取预防措施。HDFC 银行就表示,他们在几周前便已对此采取防护措施,并建议用户经常更改 ATM 密码。印度时报则报导,为求保险,印度国家银行将重新核发60万张借记卡。万事达卡也在电子邮件声明中澄清,自家系统并未被黑客入侵。
近年各国 ATM 遭盗案件层出不穷,且盗领金额及犯罪组织规模愈来愈大。2013年,美国破获史上最大规模的 ATM 盗领案,歹徒在10个小时内,透过27个国家的提款机盗领4000万美元。2016年5月及7月,日本及台湾也各自发生超商及银行 ATM 盗领案,皆与跨国犯罪组织相关。
对此,剑桥大学资安工程教授 Ross Anderson 便指,印度中央银行需要针对安全漏洞制定严格的政策。而目前中央银行尚未要求各银行向大众报告其安全问题,等于是让银行掩盖缺失,让客户处于承担诈骗成本的风险中。Anderson 认为,这不只让有钱的银行业者可以因其自身疏忽转而指责客户,同时也削减了让银行做得更好的动力。