De nouvelles données recueillies auprès de la cybercriminalité souterraine suggèrent que la violation apparente des cartes de crédit et de débit à Dépôt à domicile implique presque tous les magasins de l’entreprise à travers le pays.
La preuve qu’un grand détaillant américain avait été piraté et divulguait des données de carte a fait surface pour la première fois mardi sur le magasin de cybercriminalité rescateur[dot]ccle magasin principalement responsable de la vente des cartes volées dans le Cible, Sally Beauté, PF Chang’s et les violations de carte de crédit de Harbour Freight.
Comme pour les cartes mises en vente à la suite de ces violations, la boutique de Rescator répertorie chaque carte en fonction de la ville, de l’état et du code postal du magasin dans lequel chaque carte a été volée. Voir cette histoire pour des exemples de cette dynamique dans le cas de Sally Beauty, et cet article qui présente la même analyse sur les données de carte volées de la violation de Target.
Les cartes de crédit volées en vente sur le site de Rescator indexent chaque carte par ville, état et code postal du magasin de détail dans lequel chaque carte a été volée.
Les données du code postal permettent aux escrocs qui achètent ces cartes de créer des copies contrefaites des cartes de crédit et de débit et de les utiliser pour acheter des cartes-cadeaux et des marchandises à prix élevé dans les magasins de détail à grande surface. Ces informations sont extrêmement précieuses pour les escrocs qui achètent les cartes volées, pour une raison simple : les banques bloquent souvent les transactions par carte en magasin pour les achats effectués en dehors de la région géographique du titulaire légitime de la carte (en particulier à la suite d’une violation majeure). .
Ainsi, les escrocs expérimentés préfèrent acheter des cartes qui ont été volées dans des magasins à proximité, car ils savent que l’utilisation des cartes pour des achats frauduleux dans la même zone géographique que le titulaire légitime de la carte est moins susceptible de déclencher des alertes sur des transactions suspectes – des alertes qui pourraient rendre le données de cartes volées sans valeur pour les voleurs.
Ce matin, BreachTrace a extrait tous les codes postaux uniques des données de carte actuellement en vente à partir des deux lots de cartes qu’au moins quatre banques ont maintenant cartographiés avec les transactions précédentes chez Home Depot. BreachTrace a également obtenu une liste de marketing commercial indiquant l’emplacement et le code postal de chaque magasin Home Depot à travers le pays.
Voici le coup de pied : Une comparaison des données de code postal entre les codes postaux uniques représentés sur le site de Rescator et ceux des magasins Home Depot montre un chevauchement stupéfiant de 99,4 %.
Home Depot n’a pas encore dit avec certitude s’il a effectivement subi une violation de carte à l’échelle du magasin; au contraire, tout ce que l’entreprise dit jusqu’à présent, c’est qu’elle enquête sur une « activité inhabituelle » et qu’elle travaille avec les forces de l’ordre sur une enquête. Voici la page que Home Depot a mis en place pour d’autres avis concernant cette enquête.
J’ai revérifié les données avec plusieurs sources, y compris avec Nicolas Tisserandchercheur au Institut international d’informatique (ICSI) et à l’Université de Californie, Berkeley. Weaver a déclaré que les données suggèrent une très forte corrélation.
« Un chevauchement de plus de 99 % des codes postaux suggère fortement que cette source provient de Home Depot », a déclaré Weaver.
Voici une liste de tous les codes postaux uniques représentés dans plus de 3 000 cartes de débit et de crédit actuellement en vente sur le site de Rescator (Rescator limite le nombre de cartes que l’on peut afficher aux 33 premières pages de résultats, 50 cartes par page). Voici une liste de tous les codes postaux uniques de Home Depot, au cas où quelqu’un voudrait vérifier mon travail.
Au total, il y avait 1 822 codes postaux représentés dans les données de carte à vendre sur le site de Rescator, et 1 939 codes postaux uniques correspondant aux emplacements des magasins Home Depot (alors que Home Depot dit qu’il a environ 2 200 magasins, il est prudent de supposer que certains codes postaux ont plus d’un magasin Home Depot). Entre ces deux listes de codes postaux, il y a 10 codes postaux dans les données de la carte Rescator qui ne correspondent pas aux magasins Home Depot réels.
Enfin, il y avait 127 codes postaux pour les magasins Home Depot qui ne figuraient pas dans la liste des codes postaux représentés dans les données de la carte Rescator. Cependant, il est important de noter que les données extraites du site de Rescator ne représentent presque certainement qu’une infime partie des cartes que sa boutique mettra en vente dans les jours et les semaines à venir.
Qu’est-ce que tout cela signifie? Eh bien, en supposant que Home Depot confirme une violation, cela pourrait nous donner un moyen de déterminer la taille probable de cette violation. Les banques avec lesquelles j’ai parlé en rapportant cette histoire disent que les données qu’elles examinent suggèrent que la violation a probablement commencé fin avril ou début mai. Pour mettre cela en perspective, la violation de Target a touché un peu moins de 1 800 magasins, a duré environ trois semaines et a entraîné le vol d’environ 40 millions de numéros de cartes de débit et de crédit. Si une brèche chez Home Depot est confirmée, et si cette analyse est correcte, cette brèche pourrait être beaucoup, beaucoup plus importante que Target.
Comment cela vous affecte-t-il, cher lecteur ? Il est important que les Américains se souviennent que vous n’avez aucune responsabilité en matière de fraude sur votre carte de crédit. Si la carte est compromise dans une violation de données et qu’une fraude se produit, tous les frais frauduleux seront annulés. MAIS, tous les débits frauduleux ne peuvent pas être détectés par la banque qui a émis votre carte, il est donc important de surveiller votre compte pour toute transaction non autorisée et de signaler immédiatement ces faux débits.