Under hösten 2005 kontaktades svenska Pizza Hut av Nordeas säkerhetsavdelning som spårat stulna kontokortsnummer till restaurangens kassasystem. Ett par hundra kontokortsnummer svartlistades, men härvan växte snabbt i omfattning.
CS kan nu avslöja att intrången var en del i ett av de största it-bedrägerierna i svensk historia.
I dag står det klart att fler än 24 000 kontokortsnummer stulits ur svenska företags kassasystem, flera av dem knutna till företagskort med mycket hög kreditgräns. Samtliga svenska storbanker drabbades, liksom banker i andra delar av Europa
vars kontokort används i Sverige.
Uppgifter från Visas Europakontor visar att härvan hittills kostat minst åtta miljoner kronor i ersättning till bestulna Visakunder. Den totala kostnaden, för ersättning åt drabbade kunder hos samtliga kortföretag, beräknas vara betydligt högre.
Varken de svenska bankerna, Visa eller Mastercard har offentliggjort härvans hela omfattning. Bankerna har i tysthet ersatt kunder som blivit bestulna och bytt ut stulna kortnummer utan att förklara hur stölderna gått till eller i vilken omfattning korten bytts ut.
Swedbank bekräftar för CS att ”flera tusen” av deras kontokortsnummer försvann vid dataintrången. Nordea uppger att 570 kortnummer har använts i bedrägerier, men kan inte uppge exakt hur många kortnummer som stulits. SEB uppger att de har identifierat ”ett par hundra” kortnummer som stulna i härvan.
Svenska poliser deltog i den inledande utredningen av härvan. I dag leds utredningen av kortföretagen Visa och Mastercard. De har i sin tur anlitat det brittiska säkerhetsbolaget One-sec för att undersöka stölderna.
– Den stora frågan var om det var ett externt eller internt intrång. Den frågan blev aldrig löst, säger en källa inom polisen som tidigare arbetat med fallet.
Exakt hur bedrägerierna gått till är fortfarande oklart, men gemensamt för de drabbade företagen är att de anlitat samma kassasystemsleverantör. Under våren 2006 granskades därför de svenska kassasystemsleverantörerna 3cint och Micros samt konsultbolaget TXL av en grupp säkerhetsexperter från One-sec, som flögs in till Sverige för Visas räkning.
De granskade företagen som CS varit i kontakt med vittnar om hur de i praktiken utestängdes från utredningen. Förutom korthuggen information om dataintrång nämndes ingenting om härvans omfattning.
– De var väldigt förtegna. De sa i stort sett ingenting. Jag vet inte ens om det var ett hackarjobb eller om det var ett insiderjobb, säger en anställd på ett av de granskade företagen.
Visa hänvisar till bedrägeriet för första gången i en intern rapport om betalningssäkerhet, publicerad nästan ett år efter att utredningarna inletts.
Paul Ravenscroft, presstalesman på Visas Europakontor, bekräftar att företaget fortfarande utreder intrången. Han vill inte avslöja om utredningen gett resultat.
– Jag tvivlar på att vi kommer säga någonting om det här. Vi kommenterar inte pågående utredningar, säger han.
Mastercard bekräftar att kortnummer försvunnit i intrången och att företaget deltagit i utredningen. Men någon siffra på hur många av Mastercards kort som stals lämnas inte ut.
– Vår policy är att inte lämna ut sådana detaljer, säger Mats Taraldsson, regionchef för Norden på Mastercard.
Läs även:
Bankerna svarar: "En affärsmässig bedömning"
Stölderna tvingar fram bättre säkerhet
Enligt Visa har intrånget visat på ”betydande sårbarheter” i flera it-system.
Att de aktuella systemen inte uppfyller kraven som ställs i säkerhetsstandarden pci-dss påpekas särskilt.
Omkring 8 miljoner kronor har försvunnit som en följd av kortstölden, enligt Visa.Hur mycket härvan har kostat övriga kortföretag hålls hemligt.
