[ad_1]

Si vous avez séjourné, mangé ou joué dans un Hyatt hôtel entre le 13 août et le 8 décembre 2015, il y a de fortes chances que les données de votre carte de crédit ou de débit aient été volées par des cyber-voleurs inconnus qui ont infiltré de nombreux systèmes de paiement de la chaîne hôtelière. Dans sa première divulgation sur l’étendue d’une violation reconnue le mois dernier, Hyatt Hotels Corp. affirme que l’intrusion a probablement affecté les clients de 250 hôtels dans environ 50 pays.

HyattDans une déclaration publié jeudi, Hyatt a déclaré que la majorité des systèmes de paiement compromis par des logiciels malveillants de vol de cartes se trouvaient dans les restaurants des hôtels, et qu’un « petit pourcentage des cartes à risque était utilisé dans les spas, les magasins de golf, les parkings et un nombre limité de réceptions. » La liste des hôtels concernés est ici.

Hyatt, basé à Chicago, rejoint une liste bondée d’autres chaînes hôtelières ayant fait l’objet d’une violation similaire au cours de l’année écoulée, notamment Hilton, Starwood, Mandarin Oriental, White Lodging (deux fois) et la Trump Collection.

ANALYSE/RANT

Les banques américaines ont commencé à proposer des cartes de crédit et de débit à puce, et un plus grand nombre de détaillants installent des systèmes de paiement capables de lire les données de la carte client sur la puce. La puce crypte les données de la carte et rend la contrefaçon beaucoup plus difficile et coûteuse pour les voleurs.

Cependant, la plupart de ces cartes à puce contiendront toujours les données des clients en texte brut sur la bande magnétique de la carte, et les commerçants américains qui continuent d’autoriser les clients à passer la bande magnétique ou qui n’ont pas de lecteur de carte à puce en place assument toute la responsabilité pour toute transaction ultérieurement jugée frauduleuse.

Les États-Unis sont le dernier des pays du G20 à adopter ce transfert de responsabilité, et de nombreux pays qui sont passés à la technologie des cartes à puce l’ont fait par décret gouvernemental. Ces pays ont également presque uniformément vu la fraude à la contrefaçon de cartes diminuer tandis que les voleurs se concentrent sur le ciblage des fournisseurs de commerce électronique.

Bien que les cybervoleurs volent encore les données des cartes sur la bande magnétique des clients des banques dans les pays qui sont depuis longtemps passés aux cartes à puce, ces données de carte sont généralement expédiées aux voleurs ici aux États-Unis, qui peuvent contrefaire les cartes et les utiliser pour voler marchandises de détaillants à grande surface basés aux États-Unis.

Ce qui est remarquable dans l’expérience américaine de passage aux cartes à puce, c’est que la discussion sur l’opportunité et le moment de passer à plus de sécurité physique (puces) dans les cartes de crédit et de débit s’est jouée presque entièrement en dehors de la décision d’imposer des réglementations de conformité coûteuses et de plus en plus labyrinthiques (PCI) sur les commerçants qui souhaitent traiter ou accepter des transactions par carte.

Au lieu de simplement exiger que les banques et les détaillants se déplacent de concert pour gérer les cartes à puce, les législateurs et les régulateurs américains ont pendant des années délégué (abdiqué?) La responsabilité de la sécurité des cartes de crédit à une industrie en plein essor d’auditeurs et d’évaluateurs qui ont essayé de sécuriser une technologie (cartes à bande magnétique) vieille de 60 ans et à peu près aussi sûre que l’envoi de votre numéro de carte de crédit sur une carte postale.

Malgré toute l’attention accordée aux nouveaux dispositifs sophistiqués de guichets automatiques et d’écrémage de cartes, par exemple, la technologie incluse dans les écrémeurs pour voler les données des cartes à partir de la bande magnétique n’a pas besoin d’être plus sophistiquée que les composants d’un homme de 35 ans. Baladeur Sony. Je dois noter ici que si le changement de responsabilité basé sur la puce pour les détaillants est entré en vigueur en octobre 2015, ce même changement ne s’étend pas aux distributeurs automatiques de billets avant octobre 2016 et aux terminaux de paiement sans surveillance (par exemple, les pompes à essence) jusqu’en octobre 2017.

À mesure que l’adoption de la carte à puce reprend ici aux États-Unis et que la contrefaçon de cartes devient plus coûteuse pour les cybervoleurs, nous commencerons à entendre parler de beaucoup moins de ces violations de la vente au détail. Les fournisseurs de commerce électronique ressentiront sans aucun doute le poids de ce changement, car les voleurs ne se contentent pas de s’en aller lorsque vous leur compliquez la tâche, ils vont là où il y a plus de victimes et moins de coûts initiaux. Et pour les cyberescrocs, il y a beaucoup de fruits à portée de main dans le secteur du commerce électronique (et il y a beaucoup de nouvelles entreprises qui se connectent pour la première fois chaque jour).

Il y a un autre grand changement dans la fraude qui s’annonce, mais qui n’attire probablement pas assez l’attention des banques, des détaillants et des fournisseurs de commerce électronique : il y a fort à parier que nous pouvons également nous attendre à une augmentation considérable des prises de contrôle de compte et de la fraude à de nouveaux comptes. Les deux formes de fraude sont étroitement liées aux données d’identité statiques des consommateurs (SSN, DOB, etc.) qui sont largement disponibles dans le milieu de la cybercriminalité. Les banques comme les commerçants ont beaucoup de travail devant eux pour améliorer la fiabilité et l’évolutivité des systèmes d’authentification et de véritable connaissance de leurs clients.

Au lieu de cela, de nombreuses institutions financières ont gaspillé une grande partie de leurs ressources en essayant de déterminer quels détaillants exposent les cartes de leurs clients. C’est parce que Visa, MasterCard et les autres associations de cartes ne diront pas aux banques quels détaillants ont été touchés ; ils leur envoient simplement des mises à jour incessantes sur des numéros de carte spécifiques soupçonnés d’avoir été compromis par une violation quelque part. Il appartient ensuite aux banques de travailler à rebours à partir des cartes piratées et de trianguler quels commerçants apparaissent le plus fréquemment dans un lot de cartes donné.

Tout cela explique probablement pourquoi, chaque semaine, je suis contacté par le personnel anti-fraude de diverses banques à travers le pays, me demandant si je peux les aider à deviner la source de certains problèmes de fraude par carte qu’ils subissent. En tant que journaliste, c’est un peu une situation surréaliste, mais je ne peux pas trop me plaindre : cela a permis à cet auteur de raconter histoire après histoire sur les violations de cartes dans le secteur de la vente au détail au cours des deux dernières années.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *