.
Uma falha de segurança em um fornecedor terceirizado expôs um número incontável de números de cartões American Express, datas de validade e outros dados a pessoas desconhecidas.
“Tomamos conhecimento de que um provedor de serviços terceirizado contratado por vários comerciantes teve acesso não autorizado ao seu sistema”, escreveu Anneke Covell, diretora de privacidade da Amex, em uma carta. [PDF] aos clientes no final do mês passado, alertando-os sobre a confusão.
“O número da conta do seu cartão American Express atual ou emitido anteriormente, seu nome e outras informações do cartão, como a data de validade, podem ter sido comprometidos. É importante observar que os sistemas de propriedade ou controlados pela American Express não foram comprometidos por este incidente.”
O estado norte-americano de Massachusetts divulgou [PDF] o erro como parte de suas regras sobre divulgação de violações de privacidade.
É importante notar que a American Express apareceu nos relatórios de vazamento de dados de Massachusetts um total de 16 vezes até agora neste ano, com os outros incidentes cobrindo principalmente apenas alguns (leia-se: um dígito) residentes de MA.
Cartas de notificação para essas dezenas de erros afirmam que comerciantes individuais foram comprometidos, expondo seus registros de clientes, ou que dados de clientes da Amex foram encontrados online durante uma investigação policial e relatados. Os porta-vozes da Amex enfatizaram O registro que esses erros “não foram causados por uma violação de dados na American Express ou em um provedor de serviços da American Express”. Por exemplo, em dois dos casos, “os incidentes resultaram de ataques em pontos de venda a processadores comerciais e não estão relacionados” a quaisquer falhas por parte da American Express, disseram-nos.
Para clientes preocupados da Amex, a gigante financeira garantiu em suas cartas que os clientes não são responsáveis por cobranças fraudulentas. A Amex sugere que os clientes revisem regularmente seus extratos e se inscrevam para receber alertas de conta que notificam os usuários por mensagem de texto, e-mail ou aplicativo móvel sobre quaisquer cobranças suspeitas. ®
.
