Plusieurs institutions financières affirment constater un schéma de fraude indiquant qu’une violation de carte de crédit en ligne a frappé Park-and-Fly, un service de stationnement d’aéroport hors site basé à Atlanta qui permet aux clients de réserver des places avant le voyage via un système de réservation basé sur Internet. L’incident de sécurité, s’il est confirmé, serait le dernier d’une série de violations de cartes impliquant des systèmes de paiement compromis dans les services de stationnement à l’échelle nationale.
Mise à jour, 14 janvier 2015 : Park ‘N Fly a reconnu une infraction. Voir cette histoire pour plus de détails.
Histoire originale :
En réponse aux questions de BreachTrace, Park-n-Fly a déclaré qu’il avait récemment engagé plusieurs sociétés de sécurité externes pour enquêter sur les allégations de violation faites par les institutions financières, mais qu’il n’avait jusqu’à présent pas été en mesure de trouver une violation de ses systèmes.
« Nous n’avons pas été en mesure de trouver des problèmes spécifiques liés aux cartes ou aux transactions signalées à nous et par les institutions financières », a écrit Michel Robinson, directeur principal des technologies de l’information de la société, a déclaré dans un communiqué envoyé par courrier électronique. « Bien que ce type d’incident soit rare pour nous sur la base de nos milliers de transactions quotidiennes, nous prenons chaque cas très au sérieux. Comme toute entreprise réputée impliquée dans le commerce électronique aujourd’hui, nous reconnaissons que nous devons être constamment vigilants et rechercher chaque réclamation pour éliminer les vulnérabilités ou les lacunes potentielles.
La déclaration de Park-n-Fly continue :
« Bien que nous pensons que nos systèmes sont très sécurisés, y compris le cryptage SLL, nous avons récemment engagé plusieurs sociétés de sécurité externes pour identifier et résoudre les éventuelles lacunes de nos systèmes et, comme toujours, nous prendrons toutes les mesures indiquées. Nous avons effectué toutes les mises à niveau de précaution nécessaires et nous venons de mettre à niveau le 12/9 vers le dernier certificat SSL EV d’Entrust, l’un des principaux émetteurs de certificats du secteur.
Néanmoins, deux banques différentes ont partagé des informations avec BreachTrace qui suggèrent que Park-n-Fly – ou un composant de son système de traitement de cartes en ligne – a effectivement subi une violation. Les deux banques ont constaté des fraudes sur un nombre important de cartes clients qui, auparavant – et tout récemment – avaient été utilisées en ligne pour effectuer des réservations dans plus de 50 emplacements Park-n-Fly dans tout le pays.
Contrairement aux données de carte volées aux détaillants de la rue principale, qui peuvent être encodées sur du nouveau plastique et utilisées pour acheter des biens volés dans des magasins de détail physiques, les cartes volées lors de transactions en ligne ne peuvent être utilisées que par des voleurs pour des achats en ligne frauduleux. Cependant, la plupart des magasins de cartes en ligne qui vendent des données de cartes volées dans des magasins souterrains commercialisent les deux types de cartes, connues dans le langage des voleurs sous le nom de «décharges» et de «CVV», respectivement.
Les CVV volés que des sources bancaires ont retracés jusqu’à Park-and-Fly sont parmi les milliers actuellement en vente dans quatre gros lots de données de cartes (surnommés « Decurion ») colportés à Réscateur[dot]cm, le même magasin de crime qui a d’abord déplacé les cartes volées dans les brèches de vente au détail chez Home Depot et Target. Le prix des données de carte varie de 6 $ à 9 $ par carte et comprend le numéro de carte, la date d’expiration, le code de vérification de carte à 3 chiffres, ainsi que le nom, l’adresse et le numéro de téléphone du titulaire de la carte.
Les cartes que les banques remontaient à Park-n-Fly étaient toutes en vente dans la boutique de Rescator.
Le mois dernier, PS Plus — un fournisseur de stationnement basé à Chicago — mentionné systèmes de paiement dans 17 parkings à Chicago, Philadelphie et Seattle qui ont été piratés pour capturer les données de carte de crédit après que des voleurs ont installé des logiciels malveillants pour accéder aux données de carte de crédit à distance. Les données de carte volées dans ces emplacements SP+ se sont retrouvées en vente dans un magasin de cybercriminalité concurrent appelé Goodshop.
Dans le Missouri, la St. Louis Parking Company a récemment divulgué qu’il a appris une violation impliquant des données de carte volées dans son parking de la gare Union entre le 6 octobre 2014 et le 31 octobre 2014.