Dépôt à domicile a déclaré aujourd’hui que des cybercriminels armés de logiciels malveillants personnalisés ont volé environ 56 millions de numéros de cartes de débit et de crédit à ses clients entre avril et septembre 2014. Cette divulgation fait officiellement de l’incident la plus grande violation de carte de détail jamais enregistrée.
La divulgation, la première véritable information sur les dommages causés par une violation de données qui a été initialement divulguée sur ce site le 2 septembre, visait également à assurer aux clients que le logiciel malveillant utilisé dans la violation a été éliminé de ses réseaux de magasins aux États-Unis et au Canada.
« Pour protéger les données des clients jusqu’à ce que le logiciel malveillant soit éliminé, tous les terminaux identifiés avec un logiciel malveillant ont été mis hors service et la société a rapidement mis en place d’autres améliorations de sécurité », a déclaré la société via communiqué de presse (PDF). « La méthode d’entrée des pirates a été fermée, les logiciels malveillants ont été éliminés des systèmes de l’entreprise et l’entreprise a déployé un cryptage amélioré des données de paiement dans tous les magasins américains. »
Cette « protection renforcée des paiements », a déclaré la société, implique une nouvelle protection de la sécurité des paiements « qui verrouille les données de paiement grâce à un cryptage amélioré, qui prend les informations brutes des cartes de paiement et les brouille pour les rendre illisibles et pratiquement inutiles pour les pirates ».
« La nouvelle technologie de cryptage de Home Depot, fournie par Sécurité de tension, Inc., a été testé et validé par deux sociétés de sécurité informatique indépendantes », poursuit le communiqué. « Le projet de cryptage a été lancé en janvier 2014. Le déploiement a été achevé dans tous les magasins américains le samedi 13 septembre 2014. Le déploiement dans les magasins canadiens sera terminé au début de 2015. »
Le reste de la déclaration se penche sur des orientations fiscales mises à jour pour les investisseurs sur ce que Home Depot pense que cette violation pourrait coûter à l’entreprise en 2014. les attaquants ont peut-être installé le logiciel malveillant principalement sur les systèmes de paiement en libre-service de Home Depot, ce qui pourrait aider à expliquer pourquoi cette violation de cinq mois ne concerne que 56 millions de cartes au lieu de plusieurs millions de plus.
En ce qui concerne le calendrier, plusieurs institutions financières signalent que les alertes qu’elles reçoivent de Visa et MasterCard concernant des cartes de crédit et de débit spécifiques compromises dans cette violation suggèrent que les voleurs volaient des données de carte dans les caisses enregistreuses de Home Depot jusqu’au 7 septembre 2014. , cinq jours après que la nouvelle de la violation a éclaté pour la première fois.
La violation de Target a duré environ trois semaines, mais elle a exposé quelque 40 millions de cartes de débit et de crédit parce que les pirates ont activé leur logiciel malveillant de vol de cartes pendant la saison de magasinage la plus chargée de l’année. Avant la violation de Home Depot, le record de la plus grande violation de carte de détail était détenu par TJX, qui avait perdu quelque 45,6 millions de cartes.