Det amerikanske finansfirma Heartland kan være kilden til en af historiens største tilfælde af kreditkortsvindel.
Heartland hører til blandt de absolutte sværvægtere i forbindelse med håndtering af kreditkortbetalinger for blandt andet Visa og Mastercard.
Meget tyder nu på, at it-kriminelle har haft direkte adgang til systemerne.
Ifølge Heartland har uvedkommende personer sandsynligvis plantet ondsindet kode på firmaets systemer og sniffet oplysninger.
Den amerikanske lovgivning påbyder firmaer at oplyse om sikkerhedsproblemer, og derfor har Heartland været tvunget til at melde ud.
I den udtalelse som firmaet i første omgang har publiceret, insisterer ledelsen dog på, at der ikke er gået personnumre, kortkoder, adresser eller telefonnumre tabt.
Langt fra sandheden
Men det kan ligger langt fra sandheden, vurderer en ekspert, der udelukker, at der er tale om et rygte.
Der er alvorlige problemer hos Heartlands, vurderer Ken Willen, som er sikkerhedsekspert i Symantec.
"Heartlands udmelding er meget forsigtig, og ingen kender endnu skadens omfang," siger han.
"Eksterne auditører skal nu blotlægge omfanget af de formodede problemer, men meget tyder på, at hackerne har fået adgang til de såkaldte Track 2-data, der gør det muligt at skabe kopier af betalingskortene. Hvis det er tilfældet, er det en meget alvorlig sag."
Track 2-data er de informationer, der opbevares i kreditkortets magnetstribe.
Har man dem, er det muligt at genskabe en nøjagtig kopi af kortet, der kan anvendes på lige fod med originalen.
Kortudstederne advarer
Og meget tyder på, at der er noget om snakken.
"Det er firmaer som Visa og Mastercard, der har advaret Heartland om, at der er uregelmæssigheder på deres systemer, og omfanget beskrives som stort og globalt. Når disse firmaer henvender sig direkte til Heartland, er der ingen tvivl om, at det er alvorligt," siger Ken Willen.
"Hvor langt hackerne har været inde i systemerne, er dog stadig uvist," siger han.
En amerikansk Gartner-analytiker er noget mere skråsikker i sin vurdering af omfanget.
"Det ligner historiens største svindelnummer med kreditkortkort," siger Avivah Litan således til Computerworlds nyhedstjeneste.
Stemmer det, skal mere end 45 millioner kort være udsat for svindel.
Finansvirksomheden TJX har nemlig den tvivlsomme ære af at have rekorden, hvor der blev svindlet med kortdata til 45 millioner kort.
Firmaet Cardcops, der leder efter kompromitterede kortdata på nettet, rapporterer desuden om, at personer i undergrundsmiljøer snakker om et direkte indbrud i Heartland.
Insider-problem
Hvordan den ondsindede kode har fundet vej til Heartland systemer undersøges nu, men meget tyder på, at det kan være en person fra firmaet, der har gjort noget ulovligt.
"Der er flere muligheder, men der er stor sandsynlighed for, at det er en insider, som har placeret koden på systemerne," vurderer Ken Willen.
Kortudstederne har nemlig nogle uhyre strenge PCI-certificeringsregler, der er meget svære at omgå af udefrakommende, fortæller han.
PCI-certificeringen (Payment Card Industry) er et omfattende program, der har til formål at øge datasikkerheden hos leverandører af betalingsløsninger.
PCI-godkendelsen opnås, efter at en certificeret it-revisor har kontrolleret og godkendt såvel den interne som den eksterne sikkerhed på grundlag af en omfattende tjekliste.
Tjeklisten omfatter mere end 200 punkter og berører alle aspekter af it-sikkerheden både fysisk og digitalt.
