La semaine dernière, fabricant de points de vente (POS) basé à Allentown, en Pennsylvanie Harbourtouch a révélé qu’une violation impliquant « un petit nombre » de ses clients de restaurants et de bars avait été affectée par un logiciel malveillant qui permettait aux voleurs de siphonner les données des cartes des clients des commerçants concernés. BreachTrace a récemment entendu un important émetteur de cartes américain dire que la société minimise radicalement l’ampleur de la violation et que le compromis semble avoir touché plus de 4 200 clients Harbortouch dans tout le pays.
Dans les semaines qui ont précédé la divulgation de Harbortouch, de nombreuses sources du secteur financier ont émis l’hypothèse qu’il y avait peut-être une brèche dans une société de traitement de cartes de crédit. Cette suspicion survient généralement lorsque les banques commencent à ressentir beaucoup de douleur liée à la fraude par carte qu’elles ne peuvent pas facilement retracer jusqu’à un commerçant spécifique (pour en savoir plus sur les raisons pour lesquelles les violations des fournisseurs de points de vente sont difficiles à identifier, consultez cet article.
Certaines banques étaient tellement inquiètes des pics de fraude inexpliqués, car les cartes volées étaient utilisées pour acheter des marchandises dans les magasins à grande surface, qu’elles ont institué des changements spectaculaires dans la façon dont elles traitaient les transactions par carte de débit. Glastonbury, CT. basé Banque unie a récemment inclus un avis sur fond rouge bien en vue en haut de leur page d’accueil indiquant: «Dans un effort pour protéger nos clients après avoir appris un pic de transactions frauduleuses dans les épiceries ainsi que dans des magasins similaires tels que WalMart et Target, nous avons institué un bloc dans lequel les clients devront désormais sélectionner « Débiter » et entrer leur « PIN » pour les transactions dans ces magasins lorsqu’ils utiliseront leur carte de débit United Bank.
Un avis aux clients de United Bank.
Dans une déclaration publiée la semaine dernière à BreachTrace, Harbortouch a déclaré avoir « identifié et contenu un incident qui a affecté un petit pourcentage de nos commerçants ».
« L’incident impliquait l’installation de logiciels malveillants sur certains systèmes de point de vente (POS) », a déclaré Harbortouch dans un communiqué écrit. « Le malware avancé a été conçu pour éviter la détection par le programme antivirus exécuté sur le système POS. Quelques heures après avoir détecté l’incident, Harbortouch a identifié et supprimé le logiciel malveillant des systèmes concernés. Nous avons engagé Mandiant, un enquêteur médico-légal de premier plan, pour nous aider dans notre enquête en cours. »
La société a déclaré que l’incident n’avait pas affecté le propre réseau de Harbortouch, ni n’était le résultat d’une vulnérabilité dans le logiciel de point de vente validé PA-DSS.
« Harbortouch ne traite ni ne stocke directement les données des titulaires de carte », a expliqué la société. « Il est important de noter que seul un faible pourcentage de nos commerçants a été touché et sur une période de temps relativement courte. Nous travaillons avec les parties appropriées pour informer les banques émettrices de cartes potentiellement impactées. Ces banques peuvent alors effectuer une surveillance accrue des transactions pour détecter et empêcher les frais non autorisés. Nous coordonnons également nos efforts avec les forces de l’ordre pour les aider dans leur enquête.
Cependant, selon des sources d’une des 10 principales banques émettrices de cartes ici aux États-Unis qui ont partagé de volumineuses données de fraude avec cet auteur sous couvert d’anonymat, la violation s’étend à au moins 4 200 magasins qui exécutent le logiciel de point de vente de Harbortouch.
Contacté pour commenter cette affirmation, Harbortouch a réitéré que l’incident du logiciel malveillant avait touché un petit pourcentage de ses marchands.
« C’était loin d’être tous nos clients, c’est simplement une fausse déclaration », a déclaré Nate Hirshberg, directeur marketing chez Harbortouch, refusant de répondre aux questions sur le nombre d’emplacements desservis par l’entreprise. « Cet incident de logiciel malveillant a eu un impact sur les emplacements des marchands individuels, pas sur Harbortouch. Harbortouch n’est pas une plate-forme de traitement, ni une passerelle et nous ne stockons aucune donnée de titulaire de carte. Il ne s’agit pas d’un incident continu et le logiciel malveillant a été éliminé rapidement dès sa détection. »
Une chose est sûre : les fournisseurs de points de vente – et leurs innombrables clients – ont une cible massive sur le dos, et il existe presque certainement de nombreuses autres sociétés de points de vente qui sont confrontées à des problèmes similaires. Restez à l’écoute pour d’autres mises à jour.