駭客賤賣價值近4千萬美元的禮物卡資料，疑自禮物卡交易網站竊得

駭客在地下論壇銷售金融資料情況汜濫，不時有大量的信用卡與支付卡的資料流竄，而不具名的禮物卡、點數等也時常成為下手目標。近期有人在暗網銷售大量禮物卡，並宣稱這些卡片來自數千家商店。Recorded Future甫併購的威脅情報公司Gemini Advisory，近日公布相關研究指出，有人在俄文駭客論壇兜售近90萬張禮物卡資料，總價值估計約3,800萬美元，但這些資料究竟從何而來？該公司表示，駭客很有可能是從名為Cardpool的禮物卡交易網站偷得。

事件發生的經過，是Gemini Advisory在2021年2月上旬，在俄羅斯駭客論壇上發現，有個惡名昭彰的駭客出售895,000張被竊的禮物卡資料，總價值約3,800萬美元。該名駭客聲稱，這些禮物卡來自3,010家公司，包含了Airbnb，亞馬遜，美國航空，Chipotle，Dunkin Donuts、萬豪酒店、Nike、S​​ubway、Target，以及沃爾瑪（Walmart）等知名品牌。這些禮物卡資料的起標價格為1萬美元，直購價格為2萬美元，很快就有另一名駭客將這些禮物卡的資料買下。

事隔一天，張貼上述禮物卡資料的駭客再度於相同論壇出手，兜售33萬張信用卡與支付卡的資料。這名駭客宣稱，這筆資料的內容，包含了持卡者的帳號地址，以及卡片號碼、有效日期、銀行名稱等資訊，但沒有CCV號碼或是持卡人姓名。這些資料的起標價格是5,000美元，直購價為15,000美元，也在數天後賣出。

針對這2批外洩的資料，Gemini Advisory分析後認為，33萬張金融卡資料的來源，很可能是禮物卡交易網站Cardpool資料外洩而流出。這些資料的時間點，界於2019年2月4日到8月4日。這個禮物卡交易網站每月曾擁有30萬人次瀏覽，其中85%來自美國，但在2021年初因為不敵武漢肺炎疫情而關閉。

由於金融卡資料偷自禮物卡交易網站，再加上前述2批卡片資料來自同一個駭客，Gemini Advisory推斷，禮物卡的資料也很有可能是來自Cardpool。

對此，Gemini Advisory表示，相較於信用卡和支付卡，禮物卡往往沒有具名，而且使用上缺乏持有者的身分驗證程序，也因此成為駭客將信用卡或支付卡額度變現的管道。例如，駭客使用偷來的信用卡與支付卡資料，購買禮物卡，再使用禮物卡購物，或者是將這些禮物卡轉賣獲利等。

照理來說，假如銀行發現這些禮物卡是透過遭竊的金融卡購得，他們可以向發行禮物卡單位通報，並要求作廢。然而，Gemini Advisory表示，這樣的處理流程非常繁瑣且費時，實際上銀行鮮少這麼做，使得這些駭客往往有充分的時間將禮物卡套現。