Home Depot千万信用卡失窃 加国银行近日始查问题卡

Home Depot去年信用卡数据库失窃 CIBC近日始查询信用卡持有人

Home Depot装修建材连锁店去年9月发生信用卡数据库资料被窃後，一名加拿大帝国商业银行(CIBC)信用卡持有者昨日接到该银行电话，表示其持有的CIBC信用卡可能已被人盗用，而导致该客户信用卡信息泄露，很可能与Home Depot的信用卡数据库被黑客窃取有关。

这位CIBC信用卡持有人周三收到银行的语音留言，声称他的信用卡可能被人盗用，需要他给银行打回电话检查一些过往的过帐是否有问题。该市民昨日回电查问，银行方面所提的几个可能有问题的过帐，都被这位市民一一确认无问题。

最後银行解释称，他们以为该市民的信用卡信息已经泄露，而造成泄露的是Home Depot发生信用卡数据库被黑客盗取资料的事件。CIBC银行还向该顾客表示，会在今年4、5月份给他发新的信用卡。

危及帐户恐达6000万

Home Depot对本报的查询未有给予答覆。而就目前所知，Home Depot的客户信用卡资料泄密事件是发生在去年秋季。公司发言人德雷克(Paula Drake)在去年9月初时曾表示，可能被盗走的信用卡帐号数量多达6000万个，卡主都是美国和加拿大的居民。

对於为何要在这个时候重提此事，或者是说Home Depot又发生新的信用卡资料泄密事件，而需要各家金融机构配合以保护客户。CIBC银行方面也没有给予答覆。

加拿大道明银行(TD Bank)方面则表示，去年发生Home Depot信用卡资料泄密事件之後，道明银行一直在密切关注此事。後来Home Depot司向道明银行通报了一批可能已泄密的信用卡帐号，道明银行随即将这些帐号全部销毁，并给相关的信用卡持有人寄去新卡并说明事情经过，而所有这些工作已在去年11月份的时候完成。

道明银行还表示，凡是被列为可能已泄密帐号的用户，银行方面都有加注，银行职员在处理这些帐户的业务时，也都会更加留心。

加拿大皇家银行(RBC)也表示，近期没有收到与Home Depot泄密事件有关的通知，而且银行的保安措施一直很得力，客户无需为此感到担忧。

做出同样表示的还有汇丰银行。汇丰银行新闻发言人博宁(Aurora Bonin)表示，她所知道的Home Depot泄密事件已是发生在去年秋天的旧事，近期并没有得到Home Depot的通报要就安全问题采取措施。

「作为预防性措施，我们去年收到Home Depot通报的可能已泄密信用帐号之後，迅速地就对问题信用卡进行了更换。目前并没有出现什麽意外，需要我们的顾客为此担忧。」

难防黑客入侵 公司危机四伏

网络保安公司可找出弱点测试预防

去年，曾发生多宗高调的网络攻击(cyber attack)事件，受害者包括有加国政府部门及大公司，例如eBay网站?微软及等Sony等大公司。有网络保安专家称，1间公司被黑客入侵的机会率达百分之百，尽管不是所有侵袭都引致顾客的资料被偷走，但商户应做足防范措施。

现今的黑客活动，部分是为偷取金钱及敏感的财政资料;一些是来自由国家政府赞助，企图偷取他国的政治秘密;也可能只是一些对电脑甚有知识的年青人在玩耍，上网搅破坏。

问题是现今的商业趋电脑化，令商户处於极大危机。

密西沙加市的NCI网络保安公司总裁蒂明斯(Danny Timmins)称，1间公司被黑客入侵的机会率达百分之百，包括有各种诈骗?间谍及malware恶意软件，大部分公司应已被入侵过。

根据由IBM公司赞助Ponemon学会作出的1项报告指出，在11个国家共350间公司提供的资料显示，於2014年每次电脑失窃资料的平均损失达350万元，即是每份纪录的损失是145元。该数字较2013年时上升15%。

蒂明斯指出，一些公司过往不以为是严重问题，现在很多公司开始明白到防范的重要性。

「符合规则」(compliance)是网络保安中增长最快的元素，有关资讯科技的保安及违例报告方面的法例不断改变，各公司被逼遵守更严厉的规则，避免罚款。例如扣帐卡行业属要「符合规则」的行业，因而要对网络保安方面做很多工作，从而达至标准，避免罚款。

现时对加国公司并无强制的「公布」(disclosure)法例，但总理哈珀曾多次试图推出有关法例。蒂明斯认为只是迟早的问题。

网络保安公司会提供「恐吓危机评估」(Threat Risk Assessments)，包括用各种方法对某公司的电脑进行弱点测试，跟@提出有关改进保安及标准的建议。

其中1项较普遍的危机测试工具叫「入侵测试」(penetration testing)，聘用的保安公司会派员做黑客，试图入侵顾客公司的电脑系统。

保安公司会用多种方法入侵某系统，包括用假的phishing攻击，例如声称是某银行发出的电邮，企图偷取收件者的个人资料。又或於顾客公司的停车场留下USB，内里的软件可偷取用者电脑内的资料。当有公司职员取去并插进其公司电脑後，黑客便开始入侵。

蒂明斯称，上述方法的成功率达25至40%，也是真黑客使用的方法。