Systèmes C&K inc.un fournisseur de paiement tiers accusé d’une violation de carte de crédit et de débit à plus de 330 Bonne volonté sites à travers le pays, a révélé cette semaine que l’intrusion a duré plus de 18 mois et a touché au moins deux autres organisations.
Le 21 juillet 2014, ce site a annoncé que plusieurs banques rapportaient des indications selon lesquelles Goodwill Industries avait subi une violation apparente qui avait conduit au vol de données de cartes de crédit et de débit de clients. Bonne volonté plus tard confirmé que la violation a touché une partie de ses magasins, mais a imputé l’incident à un « fournisseur tiers » sans nom.
La semaine dernière, BreachTrace a obtenu des points de discussion internes apparemment envoyés par Goodwill pour préparer ses organisations membres à répondre à tout appel des médias concernant l’incident. Ces points de discussion ont identifié le fournisseur tiers violé comme étant C&K Systems, un opérateur de point de vente au détail basé à Murrells Inlet, SC
En réponse aux demandes de ce journaliste, C&K a publié une déclaration reconnaissant qu’il avait été informé le 30 juillet par « un analyste de sécurité indépendant » que son « environnement de services gérés hébergés avait peut-être subi un accès non autorisé ». La société affirme avoir ensuite embauché une équipe de cyberenquête indépendante et alerté les forces de l’ordre de l’incident.
C&K affirme que l’enquête a déterminé que des pirates malveillants avaient eu accès à ses systèmes « par intermittence » entre le 10 février 2013 et le 14 août 2014, et que l’intrusion a conduit à l’installation d’un « point de vente (POS) hautement spécialisé ». logiciel malveillant infostealer.rawpos variante qui était indétectable par nos systèmes logiciels de sécurité jusqu’au 5 septembre 2014 », [link added].
Leur déclaration continue :
« Cet accès non autorisé est actuellement connu pour n’avoir affecté que trois (3) clients de C&K, dont Goodwill Industries International. Alors que de nombreuses cartes de paiement ont pu être compromises, le nombre de ces cartes dont nous avons connaissance ont été utilisées frauduleusement est actuellement inférieur à 25. »
La déclaration complète de C&K System est publiée ici.
ANALYSE
C&K Systems a refusé de répondre aux questions directes sur cette violation. En tant que tel, on ne sait pas exactement comment leurs systèmes ont été compromis, des informations qui pourraient sans aucun doute être utiles à d’autres organisations pour prévenir de futures violations. Il n’est pas non plus clair si les deux autres organisations touchées par cette violation l’ont divulgué ou le divulgueront.
Voici quelques réflexions sur les raisons pour lesquelles nous n’avons peut-être pas entendu parler de ces deux autres violations, et pourquoi la source des violations de cartes peut très souvent ne pas être signalée.
Logiciels malveillants au point de vente, tels que les logiciels malveillants qui ont frappé C&K ainsi que Cible, Dépôt à domicile, Neiman Marcus et d’autres détaillants l’année dernière, est conçu pour voler les données encodées sur la bande magnétique au dos des cartes de débit et de crédit. Ces données peuvent être utilisées pour créer des cartes contrefaites, qui sont ensuite généralement utilisées pour acheter des biens physiques chez les détaillants à grande surface.
La bande magnétique d’une carte de crédit ou de débit contient plusieurs zones, ou « des pistes», où les informations sur le titulaire de la carte sont stockées : « Piste 1 » comprend le nom du titulaire de la carte, le numéro de compte et d’autres données. « Piste 2 » contient le compte du titulaire de la carte, le code PIN crypté et d’autres informations, mais il n’inclut pas le nom du titulaire du compte.
Un exemple de données de la piste 1 et de la piste 2, ensemble. Source : Appsecconsulting.com
La plupart des États américains ont des lois sur la violation de données exigeant que les entreprises qui subissent une violation impliquant les informations personnelles et financières de leurs citoyens informent ces personnes en temps opportun. Cependant, peu de ces exigences de notification sont déclenchées à moins que les données perdues ou volées incluent le nom du consommateur (voir mon rapport sur la violation de 2012 chez Global Payments, par exemple).
Ceci est important car un grand nombre de magasins clandestins qui vendent des données de crédit et de débit volées ne vendent que des données Track 2. Traduction: Si les voleurs ne volent que des données Track 2, une entreprise victime d’une violation peut ne pas avoir l’obligation, en vertu des lois nationales existantes sur la divulgation des violations de données, d’informer les consommateurs d’un incident de sécurité ayant entraîné le vol de leurs données de carte.
CHIFFREMENT, CHIFFREMENT, CHIFFREMENT
Des violations comme celle de C&K Systems impliquant le vol de données de bande magnétique se poursuivront pendant plusieurs années, même au-delà de la La date limite de transfert de responsabilité d’octobre 2015 à partir de Visa et MasterCard.
Une grande partie de la communauté de la vente au détail s’efforce de respecter le délai d’octobre 2015 mis en place par MasterCard et Visa pour passer aux terminaux de cartes à puce et NIP à leurs caisses (dans la plupart des cas, cependant, cette transition impliquera les moins sécurisés puce-et-signature approcher). De manière quelque peu embarrassante, les États-Unis sont le dernier des pays du G20 à adopter cette technologie, qui intègre une petite puce informatique dans chaque carte, ce qui rend beaucoup plus coûteux et difficile (mais pas impossible) pour les fraudeurs de cloner des cartes volées.
Cette échéance d’octobre 2015 s’accompagne d’un changement de responsabilité pour les commerçants qui n’ont pas encore adopté la puce et le NIP (c’est-à-dire que les commerçants non conformes pourraient se retrouver responsables de tous les frais frauduleux sur les achats impliquant des cartes à puce qui ont été au lieu de cela, simplement glissé dans un lecteur de carte à bande magnétique ordinaire au moment du paiement).
Semaine d’affaires a récemment couru une histoire soulignant que le système de paiement en magasin de Home Depot « n’a pas été configuré pour chiffrer les données des cartes de crédit et de débit des clients, une lacune dans ses défenses qui a donné aux pirates potentiels une fenêtre plus large à exploiter ». L’histoire a observé que bien que Home Depot « cette année ait acheté un outil qui crypterait les données de paiement des clients à la caisse enregistreuse, deux des anciens responsables disent que les employés actuels de Home Depot leur ont dit que l’installation n’était pas terminée ».
L’aspect fou de toutes ces violations de l’année écoulée est que nous n’entendons parler que des intrusions qui ont été détectées. À une époque où des fournisseurs tiers tels que C&K Systems peuvent passer 18 mois sans détecter d’effraction, il est raisonnable de supposer que le problème est bien pire qu’il n’y paraît.
Aviva Litanun analyste de la fraude avec Gartner Inc., a déclaré qu’au moins avec les données de carte de crédit volées, il existe des mécanismes permettant aux banques de signaler un commerçant suspecté d’avoir été victime d’une infraction aux associations de cartes. À ce stade, Visa et MasterCard agrégeront les rapports à la banque du commerçant suspecté d’avoir été piraté et demanderont à la banque d’exiger que le commerçant engage une société de sécurité pour enquêter. Mais dans le cas de violations impliquant davantage de données personnelles – telles que les numéros de sécurité sociale et les informations médicales – il existe très souvent peu de déclencheurs de ce type et peu de recours pour les consommateurs concernés.
« Ce ne sont généralement que les cartes de crédit et de débit qui sont exposées », a déclaré Litan. « Personne ne se soucie de savoir si les données personnelles les plus sensibles sont volées parce que personne n’est endommagé par cela, sauf vous en tant que consommateur, et de toute façon vous n’aurez probablement aucune idée de la façon dont ces données ont été volées en premier lieu. »
Il est peut-être préférable que la plupart des violations ne soient pas divulguées : on ne sait pas exactement ce que les consommateurs pourraient supporter s’ils les connaissaient tous. Dans un article d’opinion publié aujourd’hui, New York Times écrivain Joe Nocera a observé que « sept ans se sont écoulés entre l’énorme brèche de TJ Maxx et l’énorme brèche de Home Depot – et rien n’a changé ». Nocera demande : « Sommes-nous résignés à l’idée que, comme condition de la vie moderne, nos données financières personnelles seront régulièrement piratées ? C’est sûr que ça commence à ressembler à ça. Briser la fatigue, en effet.
L’autre observation que je ferais à propos de ces violations de cartes est que l’ensemble du système de cartes de crédit aux États-Unis semble actuellement configuré de manière à ce qu’une partie à une transaction puisse transférer de manière fiable la responsabilité d’un incident à une autre. La principale raison pour laquelle les États-Unis ne sont pas encore passés à une norme plus sûre pour le traitement des cartes, par exemple, a beaucoup à voir avec le jeu de pointage du doigt et de blâme qui dure depuis des années entre les banques et le secteur de la vente au détail. Les banques ont déclaré : « Si les détaillants commençaient seulement à installer des lecteurs de cartes à puce et à code PIN, nous commencerions à émettre ces types de cartes. Les détaillants répondent : « Pourquoi devrions-nous dépenser cet argent pour mettre à niveau tous nos terminaux de paiement afin qu’ils gèrent la puce et le code PIN alors que pratiquement aucune banque n’émet ce type de cartes ? » Et ainsi de suite pendant des années.
De son côté, C&K systems affirme s’appuyer sur du matériel et des logiciels conformes aux normes actuelles de l’industrie de la sécurité, mais qui étaient néanmoins déficients. Heureusement, la société rapporte qu’elle est en train de mettre en œuvre un cryptage point à point pour bloquer toute future attaque sur son infrastructure de paiement.
«Ce que nous avons appris au cours de ce processus, c’est que nous comptons sur de nombreux systèmes et personnes et que nous accordons notre confiance pour aider à empêcher ce genre de choses de se produire. Cependant, il n’existe pas de solution de sécurité à 100 % pour l’hébergement d’environnements de point de vente », a déclaré C&K Systems. Leur déclaration continue :
« Le logiciel que nous hébergeons pour nos clients provient d’une société de points de vente leader et répond aux exigences PCI-DSS actuelles en matière de données chiffrées en transit et de données au repos. Les terminaux de point de vente sont vulnérables aux logiciels malveillants de grattage de la mémoire, qui capturent les cartes en mémoire avant que le cryptage ne puisse se produire. Notre fournisseur de logiciels est en train de déployer une version complète P2PE solutions avec tokenisation que nous prévoyons de recevoir en octobre 2014. Notre expérience de l’état des menaces actuelles aidera tous les clients actuels et futurs à développer des mesures de sécurité plus strictes pour aider à réduire l’exposition aux menaces et les rendre plus conscients des APT qui existent aujourd’hui et de l’impact du potentiel menace pour leurs entreprises.
Trop d’organisations ne se préoccupent de la sécurité qu’après avoir subi une grave violation de la sécurité, et malheureusement, cette inaction finit généralement par coûte plus cher au consommateur à long terme. Mais cela ne signifie pas que vous devez être davantage victimisé dans le processus : soyez intelligent avec vos habitudes financières.
L’utilisation d’une carte de crédit plutôt qu’une carte de débit, par exemple, implique moins de tracas et de risques lorsque les informations de votre carte sont inévitablement violées par un commerçant. Portez une attention particulière à vos relevés mensuels et signalez immédiatement tout débit non autorisé. Et passez plus de temps et d’énergie à vous protéger contre le vol d’identité. Enfin, prenez des mesures proactives pour éviter que votre boîte de réception et votre ordinateur ne soient ravagés par des cyberescrocs.