A tarja magnética atrás de seu cartão – que é igual a uma fita K7 – possui duas ou três trilhas (invisíveis) separadas e paralelas no sentido horizontal. A primeira contem dados como o número do cartão, língua e o nome do portador. A segunda, possui dados como número do cartão, e o número de segurança, que são os 3 dígitos na parte de trás do cartão (a terceira trilha, que nem todos os cartões possuem, normalmente é utilizada para gravar onde você usou o cartão). Os dados são mantidos em trilhas separadas para aumentar a segurança do cartão. É como ter uma porta com duas fechaduras e manter as chaves em locais separados. Assim, o criminoso tem que obter dados que estão em duas trilhas diferentes para clonar ou se fazer passar pelo usuário de um cartão ao telefone. Em teoria, há apenas dois lugares em que todos os dados estão fisicamente juntos: na tarja magnética que está no próprio cartão, e no banco de dados das empresas que os controlam. (Para os curiosos: o algorítimo da senha não está na tarja magnética, mas no chip que você vê na parte da frente do cartão. Mas, para fazer compras via telefone ou internet, você não precisa desse dado).
Quando um criminoso quer clonar um cartão, ele tem basicamente três opções: tentar combinações diferentes na base da força bruta (tentativa e erro), tentar obter os dados que estão no cartão do usuário (por exemplo, colocando um frente falsa no caixa eletrônico), ou buscar direto na fonte: invadindo o banco de dados da empresa que administra os cartões. A vantagem do último método é que, enquanto nos dois primeiros ele tem de pegar dados um a um de cada usuário, no último, o esforço para obter os dados de um cartão é praticamente o mesmo esforço para obter os dados de todos os cartões que a empresa possui. A desvantagem é que, em teoria, esses dados estão muito melhor protegidos. Foi justamente o que aconteceu no caso acima. E, como ele exemplifica bem, a teoria nem sempre corresponde à prática, e criminosos conseguem invadir tais bancos de dados.
Pior: o número pode estar subestimado. Os 1,5 milhão de cartões são os dados já confirmados pela Global Payments (algo como 0,5% da população americana). Alguns sites especulam que dados de até 10 milhões de usuários podem ter sido comprometidos.
Enquanto isso, Visa e Mastercard tentam se distanciar do escândalo, ainda que a Global Payments só pudesse operar porque essas duas bandeiras a credenciaram ('PCI compliant').
Nós já falamos do problema diversas vezes aqui: nem usuários nem legisladores compreendem os sistemas e processos de pagamentos eletrônicos dos quais dependemos para praticamente tudo (alguns países, como o Reino Unido, já estudam até abolir outros métodos de pagamento, como o cheque). O resultado é que, de um lado, os usuários não se protegem adequadamente e não sabem o grau de risco a que estão submetidos; e, do outro lado, os diversos pedaços de legislação não protegem adequadamente nem os usuários nem o sistema como um todo.
Um exemplo simples: no caso acima, os cartões foram, obviamente, cancelados pela empresa. Mas os usuários estão descobrindo que tiveram seus dados obtidos por criminosos e que seus cartões estão cancelados ao tentarem usa-los. Imagine o constrangimento de pagar uma refeição já consumida com um cartão cancelado ou tentar sobreviver no exterior sem conseguir sacar dinheiro no caixa eletrônico porque seu cartão de débito ou crédito foi cancelado. Pior: o crime só veio a público na última semana graças ao trabalho de jornalismo investigativo de Brian Krebs. Mas, segundo a própria empresa, ela já havia notado o crime (que ocorreu entre o fim de janeiro e o fim de fevereiro) no início de março. Ou seja, os usuários só ficaram sabendo que seus dados estão nas mãos de criminosos dois meses depois, e graças à curiosidade de um jornalista, e não porque a empresa se viu legalmente forçada a notifica-los.