Plus tôt ce mois-ci, la chaîne de produits de beauté Sally Beauté a reconnu qu’un piratage informatique avait compromis moins de 25 000 cartes de crédit et de débit de clients. Mon rapport précédent indiquait que la taille réelle de la brèche était au moins dix fois plus grande. L’analyse publiée dans cet article suggère que la violation de Sally Beauty a pu avoir un impact sur la quasi-totalité des 2 600 sites Sally Beauty à l’échelle nationale.
Cartes Sally Beauty vendues sous la base « Desert Strike » sur le site de Rescator.
Sally Beauty a refusé de spéculer sur le nombre de magasins ou le nombre total de cartes qui auraient pu être exposés à la violation, déclarant dans un communiqué la semaine dernière que jusqu’à présent, son analyse indique que moins de 25 000 cartes ont été compromises. Mais ce nombre semble très conservateur lorsqu’il est vu à travers le prisme des données de la boutique cybercriminelle principalement responsable de la vente de cartes volées aux clients de Sally Beauty. En effet, cela suggère que les auteurs ont réussi à récupérer des cartes utilisées dans presque tous les magasins Sally Beauty.
La technique de recherche utilisée pour arriver à cette conclusion était la même méthode qui a permis à ce journaliste et à d’autres de conclure que les pirates de Target avaient réussi à installer des logiciels malveillants voleurs de cartes sur les caisses enregistreuses de presque tous les 1 800 sites Target aux États-Unis.
Les premières indications d’une brèche chez Target sont apparues lorsque des millions de cartes récemment utilisées chez le grand détaillant ont commencé à être mises en vente dans un magasin du crime appelé Rescator.[dot]alors. Ce site a introduit une innovation qui, à ma connaissance, n’avait jamais été vue auparavant dans des dizaines de boutiques criminelles similaires dans le métro : il indexait les cartes volées principalement par la ville, l’état et le code postal des magasins Target dans lesquels chaque carte avait été volée.
Cette fonctionnalité était en partie ce qui permettait à Rescator de vendre ses cartes à des prix beaucoup plus élevés que les autres magasins de fraude, car la fonctionnalité de code postal permettait aux escrocs d’acheter des cartes du magasin qui avaient été volées dans les magasins Target à proximité (cette fonctionnalité suggérait également fortement que Rescator avait connaissance spécifique et exclusive de la violation, une conclusion qui a été étayée par des enquêtes précédentes sur ce blog sur le logiciel malveillant utilisé chez Target et l’histoire Internet de Rescator lui-même).
Pour mettre l’innovation du code postal en contexte, l’effraction de Target a été révélée juste une semaine avant Noël, et de nombreuses banques étaient au moins initialement réticentes à réémettre des cartes que l’on pensait compromises dans l’infraction parce qu’elles craignaient une réaction des consommateurs qui étaient occupé à faire des achats de Noël de dernière minute et à voyager pour les vacances. Dans l’intervalle, de nombreuses banques ont plutôt choisi de mettre en place des « blocages géographiques » qui signaleraient automatiquement pour fraude toute transaction en magasin située en dehors de la zone d’achat géographique normale du client. La beauté de l’indexation des codes postaux de Rescator était que les clients ne pouvaient acheter que des cartes utilisées dans les magasins Target à proximité, ce qui rendait beaucoup plus probable que les clients de Rescator puissent effectuer des achats avec les cartes volées sans déclencher les limites de blocage géographique fixées par les banques. .
Pour tester cette théorie, les chercheurs ont compilé une liste des codes postaux connus des magasins Target, puis ont gratté le site de Rescator pour obtenir une liste des codes postaux représentés dans les cartes à vendre. Bien qu’il existe plus de 43 000 codes postaux aux États-Unis, un peu moins de 1 800 codes postaux uniques ont été référencés dans les cartes Target en vente sur la boutique de Rescator, ce qui correspond à peu près au nombre d’emplacements Target à travers l’Amérique.
Sally Beauty a refusé de fournir une liste de ses différents codes postaux de magasin, mais avec l’aide de plusieurs chercheurs – dont aucun n’a souhaité être remercié ou cité dans cette histoire – j’ai pu mener la même analyse avec le nouveau lot de cartes sur Le site de Rescator qui m’a d’abord informé de la brèche de Sally Beauty. Le résultat? Il y a presque exactement le même nombre de codes postaux américains représentés dans le lot de cartes en vente sur la boutique de Rescator qu’il existe des codes postaux américains uniques des magasins Sally Beauty (~ 2 600).
Plus important encore, il y avait un chevauchement de 99,99 % dans les codes postaux. Cela suggère fortement que pratiquement tous les magasins Sally Beauty ont été compromis par cette violation.
Et ici, nous bouclons la boucle pour expliquer pourquoi il n’y a presque aucune chance que le nombre de cartes piratées soit limité à moins de 25 000. Supposons pour le moment que Sally Beauty a réussi à détecter et à éradiquer la menace qui a conduit à cette violation de carte de paiement dans les 24 premières heures. Cela signifierait essentiellement que seulement 10 transactions au total ont été compromises dans chaque magasin ce jour-là avant que l’entreprise ne parvienne à arrêter le vol. C’est possible, mais peu probable.
Ce qui est plus probable, c’est que ce lot de 282 000 cartes (surnommé « Desert Strike » par Rescator) sera le premier de plusieurs poussés dans les magasins de Rescator dans les semaines à venir. Le temps nous le dira.
J’ai demandé à Sally Beauty de commenter mes découvertes. Ils ont de nouveau refusé de fournir plus de détails sur la violation, publiant la déclaration suivante :
« Comme l’expérience l’a montré lors d’incidents de sécurité des données antérieurs dans d’autres entreprises, il est difficile de déterminer avec certitude l’étendue d’un incident de sécurité des données avant l’achèvement d’une enquête médico-légale complète. Par conséquent, nous ne spéculerons pas sur la portée ou la nature de l’incident de sécurité des données. Vérifiez s’il vous plaît sallybeautyholdings.com pour les mises à jour.
L’analyse du code postal est disponible dans cette feuille de calcul .csv.