Lorsque la nouvelle a éclaté le mois dernier que la violation de carte de crédit dans la chaîne de restauration rapide Wendy’s touché moins de 300 des 5 800 sites de l’entreprise, la réponse de nombreux lecteurs a été : « Où est la brèche ?Aujourd’hui, Wendy’s a déclaré que le nombre de magasins touchés par la brèche est « significativement plus élevé » et que l’intrusion n’est peut-être pas encore contenue.
Le 27 janvier 2016, cette publication a été la première à signaler que Wendy’s enquêtait sur une violation de carte. À la mi-mai, la société a annoncé dans ses états financiers du premier trimestre que la fraude n’avait touché que 5% des magasins.
Mais depuis cette annonce le mois dernier, un certain nombre de sources de la communauté de la fraude et des banques se sont plaintes à cet auteur qu’il n’y avait aucun moyen que la violation de Wendy’s n’affecte que 5% des magasins – étant donné le volume de fraude que les banques ont retracé jusqu’à Wendy’s les clients.
De plus, certaines de ces mêmes sources ont déclaré qu’elles étaient certaines que la violation était toujours en cours bien après que Wendy’s ait fait la réclamation de 5% en mai. Dans mon article du 2 mars, les coopératives de crédit se sentent pincées dans la violation de Wendy, j’ai cité B.Dan BergerPDG de la Association nationale des coopératives de crédit fédéralesdisant qu’il avait entendu trois PDG de coopératives de crédit qui ont déclaré que la fraude qu’ils avaient subie jusqu’à présent à la suite de la violation de Wendy’s avait éclipsé ce qu’ils avaient été frappés à la suite des violations de Home Depot et de Target.
Aujourd’hui, Wendy’s a reconnu dans un communiqué que l’infraction devrait désormais être « considérablement plus élevée que les 300 restaurants déjà impliqués ». Porte-parole de l’entreprise Bob Bertini a refusé d’être plus précis sur le nombre de magasins impliqués, citant une enquête en cours. Bertini a également refusé de dire si la société est convaincue que la violation a été contenue.
« Partout où nous le trouvons, nous avons pris des mesures », a-t-il déclaré. « Mais nous ne pouvons pas exclure qu’il n’y en ait pas d’autres. »
Bertini a déclaré qu’une partie du problème était que la brèche s’était produite en deux vagues. Il a déclaré que les enquêteurs médico-légaux extérieurs qui ont été affectés à l’affaire par les associations de cartes de crédit ont initialement trouvé 300 emplacements contenant des logiciels malveillants sur les appareils de point de vente, mais que les propres enquêteurs de l’entreprise ont découvert plus tard une souche différente de logiciels malveillants à certains endroits. . Bertini a refusé de fournir des détails supplémentaires sur l’une ou l’autre des souches de logiciels malveillants trouvées dans les intrusions.
« Ces derniers jours, notre enquêteur a identifié cette souche ou mutation supplémentaire du malware d’origine », a-t-il déclaré. « Il se trouve que cette nouvelle souche cible un système de point de vente différent de celui d’origine, et nous l’avons découvert ces derniers jours. »
La société a également souligné que tous les magasins violés étaient des entités franchisées – et non gérées par la société. Voici la déclaration que Wendy’s a fournie à BreachTrace, dans son intégralité :
Sur la base des conclusions préliminaires de l’enquête précédemment divulguée, la société a signalé le 11 mai que des logiciels malveillants avaient été découverts sur le système de point de vente (POS) de moins de 300 restaurants Wendy’s franchisés en Amérique du Nord. 50 restaurants franchisés supplémentaires étaient également soupçonnés d’avoir rencontré, ou avaient été découverts, d’autres problèmes de cybersécurité. En raison de ces problèmes, la Société a ordonné à son enquêteur de poursuivre son enquête.
Dans cette enquête continue, la Société a récemment découvert une variante du logiciel malveillant, de nature similaire à l’original, mais différente dans son exécution. Les attaquants ont utilisé un outil d’accès à distance pour cibler un système de point de vente qui, à la date de l’annonce du 11 mai, la société estimait qu’il n’avait pas été affecté. Ce logiciel malveillant a été découvert sur les systèmes de point de vente de certains restaurants franchisés, et le nombre de restaurants franchisés touchés par ces attaques de cybersécurité devrait désormais être considérablement plus élevé que les 300 restaurants déjà impliqués. À ce jour, rien n’indique dans l’enquête en cours que des restaurants exploités par la Société aient été touchés par cette activité.
De nombreux franchisés et exploitants des secteurs de la vente au détail et de la restauration font appel à des fournisseurs de services tiers pour entretenir et prendre en charge leurs systèmes de point de vente. La Société pense que cette série d’attaques de cybersécurité résulte de la compromission des informations d’identification d’accès à distance de certains fournisseurs de services, permettant l’accès au système de point de vente dans certains restaurants franchisés desservis par ces fournisseurs.
Les logiciels malveillants utilisés par les attaquants sont de nature très sophistiquée et extrêmement difficiles à détecter. Après avoir détecté la nouvelle variante de malware ces derniers jours, la société l’a déjà désactivée dans tous les restaurants franchisés où elle a été découverte, et la société continue de travailler de manière agressive avec ses experts et les forces de l’ordre fédérales pour poursuivre son enquête.
Les clients peuvent appeler un numéro sans frais (888-846-9467) ou envoyer un courriel à [email protected] avec des questions spécifiques.
La déclaration de Wendy selon laquelle les attaquants ont obtenu l’accès en volant des informations d’identification permettant l’accès à distance aux terminaux de point de vente ne devrait guère surprendre : la grande majorité des violations impliquant des chaînes de restauration et d’accueil au cours des dernières années ont été liées à des comptes d’accès à distance piratés. que les fournisseurs de services POS utilisent pour gérer à distance les appareils.
L’histoire de mercredi sur un botnet de point de vente qui a volé au moins 1,2 million de cartes de crédit dans plus de 100 emplacements Cici’s Pizza et d’autres restaurants a noté que le fournisseur de points de vente de Cici pense que les attaquants dans ce cas ont utilisé l’ingénierie sociale et l’accès à distance outils pour compromettre et garder le contrôle sur les caisses enregistreuses piratées.
Une fois que les attaquants ont chargé leur logiciel malveillant sur les appareils du point de vente, ils peuvent capturer à distance les données de chaque carte glissée dans cette caisse enregistreuse. Les voleurs peuvent ensuite vendre les données à des escrocs qui se spécialisent dans le codage des données volées sur n’importe quelle carte à bande magnétique et utilisent les cartes pour acheter des cartes-cadeaux et des produits à prix élevé dans des magasins à grande surface comme Target et Best Buy.
De nombreux détaillants se tournent maintenant vers l’installation de lecteurs de cartes capables de gérer les transactions à partir de cartes de crédit et de débit à puce plus sécurisées, qui sont beaucoup plus coûteuses à cloner pour les voleurs.
Gavin Waughvice-président et trésorier de The Wendy’s Company, a refusé de dire si Wendy’s avait un calendrier pour le déploiement de lecteurs à puce dans son parc de magasins, dont la grande majorité sont des opérations de franchise.
« Je ne pense pas que cela aurait résolu ce problème, et c’est un peu un terme impropre », a déclaré Waugh, en réponse à des questions sur les plans de déploiement de lecteurs à puce sur l’ensemble de l’empreinte américaine de l’entreprise. « Je pense que c’est plus difficile [for the attackers]mais je ne pense pas que cela rende cela impossible.
Aviva Litanun analyste de la fraude avec Gartner Inc., a déclaré que les lecteurs de puces de Wendy’s seraient utiles, mais uniquement si l’entreprise peut les activer pour accepter les transactions par puce. Comme je l’ai fait remarquer en février, bien qu’un grand nombre de commerçants aient des lecteurs de carte à puce en place, bon nombre d’entre eux accusent encore des retards dans la mise à niveau des systèmes avec les normes de la carte à puce.
Litan a déclaré que le plus gros goulot d’étranglement à l’heure actuelle pour un plus grand nombre de commerçants acceptant les cartes à puce est d’abord de faire certifier leurs nouveaux systèmes comme étant conformes à la norme de carte à puce (connue sous le nom d’Europay, Mastercard et Visa ou EMV). Et l’arriéré parmi les entreprises qui certifient les détaillants conformes à la norme EMV augmente rapidement.
Litan a déclaré que la réalité est que les cartes à puce continueront d’avoir des bandes magnétiques pendant de nombreuses années à venir.
« À moins que les données de la bande magnétique ne soient plus transmises et que vous vous débarrassiez de la bande magnétique, il y aura toujours des données de carte compromises, volées et contrefaites », a déclaré Litan.
Mise à jour du 13 juin à 9h49 HE : Ajout d’une référence à l’entretien avec le PDG de la NAFCU, Berger.