上周万事达披露美国一家卡处理机构Card Systems发生数据泄露，近4000万信用卡持卡人面临帐户被盗与潜在的欺诈交易风险。其中包括1390万万事达帐户与2000万Visa帐户，这是有史以来最大的安全泄露事件，并引发媒体大量报道以及金融机构与持卡人的恐慌。

Card Systems在5月22日进行的安全检查中发现漏洞，并于第二天报告FBI。万事达于6月17日披露该泄露事件。CardSystems是一家收卡处理机构，处于商家与银行之间承载卡交易。

两卡组织指出，2004年9月至2005年6月在美国进行交易的卡面临高风险。CardSystem确认一部分数据没有保留，包括万事达的6.8万帐户、Visa的10万帐户以及3万其他品牌帐户处于高风险。可能泄露的数据包括持卡人名、帐户代码、3至4位的验证码、失效日期。这批被盗数据如果出售估算可获益2.5亿美元，由于包含了验证码黑市价格可能高出2至3倍。

Card Systems承认该公司保留交易数据违背了两卡组织关于数据保护与存储的规定，但出于“研究”目的。万事达称被泄卡帐户已发生盗用交易，但比例非常小。泄露原因正在调查当中，没有披露是内部员工或外部黑客所为，但确认由于恶意间谍软件所引起。

数据泄露影响到美国之外的其他地区，尤其在亚太区，共48.3万张卡受到牵连。日本媒体报道今年1月至3月间该事件涉及的信用卡共发生盗用交易3700万日圆。一家发卡机构UFJ报告发生欺诈交易26笔，涉及金额1000万日圆。已知波及的国家和地区还包括新加坡、澳大利亚、中国香港、中国、新西兰、加拿大。当地成员银行正在采取多种措施防范盗用交易。

法律方面，大多数持卡人将不必承担损失责任。依据美国联邦法律，信用卡持卡人对于非授权欺诈交易只承担不超过50美元的责任，对于一些交易类型，或其他国家和地区还有零风险的政策，欺诈损失将由银行或商家承担。美国的金融服务法案（GLBA）包含了金融机构对于个人金融数据的保护规定，但仅限于向消费者直接提供服务的金融机构，万事达在一份声明中提请国会扩展该法律覆盖至任何实体，包括第三方处理机构。