Compromiso de datos de pago en el organismo público de tráfico de California

Según se hizo eco la semana pasada Brian Krebs en su blog, el organismo público regulador de vehículos del estado norteamericano de California, DMV (Department of Motor Vehicles) responsable de las matriculaciones, emisión de carnés para conductores, registro de vehículos, licencias para profesionales del sector del transporte, concesionarios, etc. y que gestiona 33 millones de vehículos matriculados y 23 millones de conductores con licencias, habría sufrido un compromiso de datos de tarjetas. El compromiso, según la nota de prensa emitida por la propia Mastercard podría potencialmente haber "[...] comprometido transacciones durante el período del 2 de agosto de 2013 al 31 de enero de 2014 y la información robada incluir los número de tarjeta, fechas de espiración y los tres dígitos del código de seguridad."

http://krebsonsecurity.com/2014/03/sources-credit-card-breach-at-california-dmv/

El compromiso, inicialmente parece ser que trascendió por la filtración de las notas de algunos bancos en California para la congelación de tarjetas de pago y el DMV emitió una nota en la que parecía trasladar la responsabilidad a un tercero.

A medida que Krebs ha ido obteniendo información ha publicado lo que podría ser un incidente muy relevante del que no hay todavía información pública. Según las conclusiones de la nota de prensa de DMV y las pesquisas llevadas a cabo por el blogger, el compromiso podría haberse dado en uno de sus proveedores de servicio de procesamiento. Actualmente, DMV parece trabajar con los dos mayores del mundo, First Data y Elavon. Ambos han trasladado directa o indirectamente no ser la causa de la brecha y estar estudiando con el DMV el incidente.

Steve Ragan de la publicación CSO Online también se ha hecho eco investigando diferentes fuentes e intentando aportar algo de luz a este compromiso de datos de tarjeta del que se tiene muy poca información oficial:

http://blogs.csoonline.com/network-security/3094/follow-california-dmv-breach-blamed-elavon

Está claro que no sólo las empresas privadas son el objetivo del fraud business. Allí donde se puedan robar datos de pago, se podrán sufrir incidentes y, esta vez, le ha tocado a la administración pública norteamericana.


No hay comentarios:

Publicar un comentario en la entrada