Efter massespærring: Nets ved ikke, hvordan kompromittering af danske kort teknisk er foregået

31. oktober 2016 kl. 15:018
Dataanalyse fik Nets til at rette henvendelse til Visa og Mastercard efter mistanken om, at over 100.000 betalingskortoplysninger var blevet kompromitteret.
person
Jakob Møllerhøj
journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jakob Møllerhøj
journalist

Det var analyse af betalingskort-data, der forleden fik Nets til at anbefale de danske banker præventivt at spærre over 100.000 danskudstedte betalingskort, som virksomheden mener, kan være i fare for at blive misbrugt.

Nets har dog ikke noget bud på, hvordan kortoplysningerne kan være havnet i forkerte hænder.

Sagen startede med, at Nets registrerede et konkret misbrug af flere betalingskort. Fælles for de misbrugte kort var, at de har været anvendt i en specifik udenlandsk web-butik.

Og denne fællesnævner har fået Nets til at anbefale de danske banker at spærre alle kort, der har været anvendt i butikken i den periode, misbruget er registreret, forklarer pressekonsulent hos Nets Ulrik Marschall.

Artiklen fortsætter efter annoncen

»Vi har mistanke om, at de kortinformationer har været kompromitteret.«

Det vil altså sige, at kort i en periode kan være opsamlet af kriminelle, i forbindelse med, at danskere har handlet i den pågældende web-butik.

Et eventuelt misbrug af kortoplysningerne kan foregå et helt andet sted og på et helt andet tidspunkt i forhold til, hvornår og hvor oplysningerne måtte være blevet kompromitterede.

Ulrik Marschall forklarer, at Nets for en måned siden anbefalede bankerne at spærre 15.000 kort relateret til samme hjemmeside. Disse kort var anvendt i en periode, hvor Nets havde registreret misbrug af kort anvendt på siden.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Pludseligt kunne vi se, at der opstår misbrug i nogle andre perioder, og de de er fordelt over året. Så spærrer vi alt fra starten af 2015 og frem til nu. Alle der har været derinde,« fortæller Ulrik Marschall.

Ved ikke hvordan

Det er altså via dataanalyse i forhold til den pågældende hjemmeside, at Nets har anbefalet de danske banker at spærre kortene. Og derfor har Nets heller ikke noget umiddelbart bud på, hvorvidt det eksempelvis er et database-hack, et skimming-script eller en anden teknik, der skulle have været brugt til at kompromittere de danske kortoplysninger.

»Nej, den efterforskning kan vi ikke lave. Vi kan bare se, det relaterer sig til den hjemmeside. Den kan jo i princippet være fuldstændig compliant og leve op til alle sikkerhedskrav, og så er der bare nogen, der er kommet omkring det, og har fundet en vej ind,« siger Ulrik Marschall.

Og i den forbindelse kan Nets heller ikke sige noget om, hvorvidt kompromitteringen af kort-data har stået på løbende siden 2015 eller sporadisk.

Artiklen fortsætter efter annoncen

»Vi kan ikke se, om det er nogle kriminelle, der lige er inde og snuse en gang imellem, eller om de ligger der hele tiden og kan opsnuse det hele.«

Visa og Mastercard

Mens det altså er Nets' egne analyser, der har fået pilen til at pege på den udenlandske web-butik, så sender den danske virksomhed bolden videre, når spørgsmålet kommer til, hvilken udenlandsk web-butik, der faktisk er tale om.

»Det er jo Visa og Mastercard, der kører efterforskningen i forhold til den pågældende hjemmeside. Vi har hverken mandat eller kontakt til denne hjemmeside overhovedet. Så derfor giver vi vores informationer videre til Visa og Mastercard, som er dem, der giver hjemmeside tilladelse til, at de må bruge Visa eller Mastercard på siden,« siger Ulrik Marschall.

Version2 har rettet henvendelse til Visa og Mastercard. Blandt andet for at høre, hvor stort de to selskaber mener, kompromitteringen af betalingskort kan være samlet set, når også ikke-danske kort regnes med. Vi har også spurgt selskaberne til, hvordan kompromitteringen kan være foregået.

Vores henvendelser har foreløbigt resulteret i følgende svar fra Visa, sendt via virksomhedens danske pressekontakt.

»Visa is aware of the reported incident. When such incidents occur, Visa works with the breached entity and their financial institution to provide card issuers with the compromised accounts so they can take steps to protect consumers,« står der i det skriftlige svar fra Visa, som fortsætter:

»Visa encourages consumers to regularly monitor their accounts, carefully review statements and notify their issuing bank promptly of any unusual activity. If they are one of the few innocent victims of card fraud they should get their money back, subject to the terms and conditions of their banks.«

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
Anne-Marie Krogsbøll
1. november 2016 kl. 09:30

Om det er 3, 30 eller 300 melder hverken den ene eller den anden historie noget om.

Hvor mange kort skal statistisk set pege på en konkret internetbutik som ophavsmand til lækket, før man kan være så sikker, som NETS lyder til at være? Er der nogen, der har et bud på det? Kort misbruges vel hele tiden via læks og uforsigtighed af forskellig art rundt omkring - så jeg forestiller mig, at der må skulle temmelig mange til, før man kan indkredse en bestemt synder?

  • more_vert
    • insert_linkKopier link
5
Lars Jensen
1. november 2016 kl. 09:29

Ja, det fremgår tydeligt af pressemeddelsen at der har været et stigende misbrug af danske kort, men ikke af de kort der er aktuelle i denne sag.

  • more_vert
    • insert_linkKopier link
4
Jakob Møllerhøj
1. november 2016 kl. 09:08

Ifølge Nets har der været misbrug af danskudstedte betalingskort. Om det er 3, 30 eller 300 melder hverken den ene eller den anden historie noget om. Ifølge Nets er det dette misbrug, der har fået pilen til at pege på en konkret udenlandsk web-butik.

Fra Nets' oprindelige pressemeddelelse:

»Nets har i de seneste uger konstateret et stigende misbrug af dansk udstedte betalingskort i både danske og udenlandske internetforretninger, og alt peger nu på, at kilden til dette er en udenlandsk internetforretning, og at en større mængde kortoplysninger er havnet i forkerte hænder.«

Men det er altså ikke det samme som, at hverken 100.000 eller 15.000 kort er blevet misbrugt. Jakob - V2

  • more_vert
    • insert_linkKopier link
3
Lars Jensen
1. november 2016 kl. 08:14

Fra denne artikel:https://www.version2.dk/artikel/svindelsag-vokser-100000-danskere-kan-faa-spaerret-deres-kreditkort-1007434

"Kortene er endnu ikke blevet forsøgt misbrugt" og Version2 kunne i slutningen af september fortælle, at 15.000 danske kreditkort var i fare for at blive misbrugt.

Altså de 15.000 kort var i fare for at blive misbrugt. De var ikke misbrugt.

  • more_vert
    • insert_linkKopier link
2
Konstantin Slavin-Borovskij
1. november 2016 kl. 06:16

Det er ikke korrekt. Nets har sagt, at de 100.000 kort, de har opfordret bankerne til at spærre, ikke har vist tegn på misbrug. Men den opfordring kommer efter, at Nets registrerede misbrug af 15.000 kort, som bankerne også lukkede med det samme. Efterfølgende anbefalede Nets så bankerne at proaktivt spærre endnu 100.000, der var blevet brugt i samme webshop i samme periode.

Så anbefalingen om de 100.000 kort, der ikke viser tegn på misbrug, kommer efter at 15.000 var blevet misbrugt.

  • more_vert
    • insert_linkKopier link
1
Lars Jensen
31. oktober 2016 kl. 18:08

"Sagen startede med, at Nets registrerede et konkret misbrug af flere betalingskort.

Nets har flere gange udtalt at ingen kort er blevet misbrugt i denne sag.

Et af de to udsagn må være forkert.

  • more_vert
    • insert_linkKopier link