[ad_1]

Au moins 1 025 Wendy’s Les sites ont été touchés par une violation de carte de crédit provoquée par un logiciel malveillant qui a commencé à l’automne 2015, a annoncé jeudi la chaîne nationale de restauration rapide. L’annonce marque une expansion significative d’une violation de données qui coûte beaucoup aux banques et aux coopératives de crédit : Auparavant, Wendy’s avait déclaré que la violation avait touché moins de 300 sites.

Une publicité pour Wendy's (en russe).

Une publicité pour Wendy’s (en russe).

Le 27 janvier 2016, cette publication a été la première à signaler que Wendy’s enquêtait sur une violation de carte. À la mi-mai, la société a annoncé dans ses états financiers du premier trimestre que la fraude n’avait touché que 5% des magasins. Mais dans une déclaration le mois dernier, Wendy’s a averti que ses estimations sur la taille et la portée de la violation étaient sur le point de devenir beaucoup plus importantes.

Wendy a publié une page qui décompose les emplacements des restaurants violés par état.

Wendy’s rejette la responsabilité de la violation sur un tiers anonyme qui dessert les établissements franchisés de Wendy’s, affirmant qu’un « fournisseur de services » qui avait un accès à distance aux caisses enregistreuses compromises a été piraté.

Pour le meilleur ou pour le pire, d’innombrables restaurants franchisés sous-traitent la gestion et l’entretien de leurs systèmes de point de vente à des fournisseurs tiers, dont la plupart utilisent des outils d’administration à distance pour accéder et gérer les systèmes à distance via Internet.

Sans surprise, les attaquants se sont concentrés sur le piratage des fournisseurs tiers et ont eu beaucoup de succès avec cette tactique. Très souvent, les pirates ne font que deviner les noms d’utilisateur et les mots de passe nécessaires pour accéder à distance aux appareils de point de vente. Mais alors que de plus en plus de fournisseurs de points de vente commencent à se resserrer sur ce front, les criminels se concentrent sur les attaques d’ingénierie sociale, c’est-à-dire qu’ils manipulent les employés de l’organisation ciblée pour qu’ils ouvrent la porte dérobée aux attaquants.

Comme détaillé dans Slicing Into a Point-of-Sale Botnet, les pirates responsables du vol de millions de numéros de cartes de crédit de clients de la chaîne de pizzas Cici’s Pizza ont utilisé des attaques d’ingénierie sociale pour inciter les employés de fournisseurs de points de vente tiers à installer des logiciels malveillants.

Comme on pouvait s’y attendre, Wendy’s a été touchée par au moins un recours collectif au-dessus de la brèche. Caisse populaire fédérale de premier choix aurait allégué que la violation de données aurait pu être évitée ou au moins atténuée si l’entreprise avait agi plus rapidement. Il est difficile de s’y opposer : l’entreprise a été informée pour la première fois de la violation en janvier 2016, et les magasins continuaient de recevoir les données des cartes clients six mois plus tard.

D’autres poursuites sont susceptibles de se produire. Comme indiqué dans Credit Unions Feeling Pinch in Wendy’s Breach, le PDG de Association nationale des coopératives de crédit fédérales estime que les pertes subies par leurs membres à cause des cartes compromises dans les établissements de Wendy’s éclipsent jusqu’à présent celles qui sont survenues à la suite des énormes violations de cartes chez Target et Home Depot.

Les personnes qui ont l’habitude de manger régulièrement ou de fréquenter une entreprise qui est en train de répondre à une violation de données représentent un défi frustrant pour les petites banques et les coopératives de crédit qui luttent contre la fraude par carte principalement en émettant une nouvelle carte à leurs clients. Peu de temps après l’expédition d’une nouvelle carte, ces clients se retournent et compromettent involontairement leurs cartes, incitant les institutions à peser les coûts d’une réémission continue par rapport aux chances que les cartes soient vendues dans le métro et utilisées à des fins frauduleuses.

Un certain nombre de lecteurs ont écrit la semaine dernière, apparemment préoccupés par mon sort et mon bien-être. C’est agréable d’être manqué; J’ai pris quelques jours de congé pour un séjour bien mérité et pour rendre visite à mes amis et à ma famille. J’écris ce post parce que certaines histoires doivent être vécues jusqu’au bout. Mais n’ayez crainte : BreachTrace sera de retour en force la semaine prochaine !

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *