En réponse aux rumeurs dans le secteur financier selon lesquelles Sear peut être le dernier détaillant touché par des pirates informatiques, la société a déclaré aujourd’hui qu’elle n’avait aucune indication qu’elle avait été violée. Bien que l’enquête sur Sears soit en cours, les experts affirment qu’il y a de fortes chances que l’identification de Sears en tant que victime soit une fausse alerte causée par une faiblesse courante des systèmes antifraude des banques qui se manifeste principalement à la suite d’infractions massives comme celle chez Target à la fin de l’année dernière.
Plus tôt cette semaine, des rumeurs ont commencé à circuler selon lesquelles Sears avait été violé par le même type d’attaque qui avait frappé Target. En décembre, Target a révélé que des logiciels malveillants installés sur les caisses enregistreuses de ses magasins avaient compromis les données des cartes de crédit et de débit sur 40 millions de transactions. Cette publication a contacté Sears mercredi pour vérifier la validité de ces rumeurs, et plus tôt dans la journée, Bloomberg a déménagé une brève histoire disant que les services secrets américains enquêteraient sur une éventuelle violation de données chez Sears.
Mais dans une brève déclaration publiée aujourd’hui, Sears a déclaré que la société n’avait trouvé aucune information indiquant une violation au sein de la société.
« Il y a eu des rumeurs et des rapports dans tout le secteur de la vente au détail d’incidents de sécurité chez divers détaillants, et nous examinons activement nos systèmes pour déterminer si nous avons été victimes d’une violation », a déclaré Sears dans une déclaration écrite. « Nous n’avons trouvé aucune information basée sur notre examen de nos systèmes à ce jour indiquant une violation. »
Les services secrets ont refusé de commenter.
Les reportages médiatiques sur des violations non divulguées dans le secteur de la vente au détail ont alimenté des spéculations effrénées sur l’identité d’autres entreprises victimes. Plus tôt cette semaine, Le journal de Wall Street a couru un morceau citant Verizon Enterprise Solutions Bryan Sartin disant que la société – qui enquête sur les violations de données – répondait à deux violations différentes actuellement non divulguées chez les principaux détaillants.
Fait intéressant, Sartin a accordé une interview la semaine dernière à cette publication spécifiquement pour discuter d’un angle mort potentiel dans l’approche utilisée par la plupart des banques pour identifier les entreprises qui pourraient avoir eu une violation de carte de paiement – une faiblesse qui, selon lui, se manifeste presque exclusivement directement après de grandes violations. comme le cambriolage de Target.
Le problème, a déclaré Sartin, découle d’un processus anti-fraude de base que les banques utilisent appelé «point d’achat commun» ou analyse CPP. En un mot, les banques prennent régulièrement des groupes de cartes de clients qui ont fait l’objet d’activités frauduleuses et essaient de voir si certaines d’entre elles ou toutes ont été utilisées chez le même commerçant pendant une période similaire.
Cette analyse CPP peut être un outil très efficace pour identifier les manquements ; selon Sartin, le CPP – s’il est fait correctement – peut identifier une entité violée neuf fois sur dix.
« Lorsqu’il existe un point d’achat commun, plus de 9 fois sur 10, non seulement nous trouvons plus tard des preuves d’une faille de sécurité, mais nous pouvons également lier de manière concluante la faille que nous avons trouvée au modèle de fraude qui a été signalé », a déclaré Sartin.
Cependant, dans l’ombre de vols massifs de cartes comme celui qui s’est produit chez Target, les faux positifs abondent, a déclaré Sartin. Le problème des faux positifs provient souvent de petites institutions qui n’ont peut-être pas une vision plus large de la mesure dans laquelle une violation comme Target peut se chevaucher avec les habitudes d’achat chez des détaillants similaires.
Et cela peut conduire à une situation coûteuse et frustrante pour de nombreux détaillants, en particulier si suffisamment de banques signalent la découverte erronée à Visa, MasterCard et à d’autres associations de cartes. À ce stade, les marques de cartes garantissent généralement que le commerçant identifié engage des enquêteurs externes pour rechercher des signes d’infraction.
« CPP est suffisamment linéaire pour dire simplement regardez, il y a un problème dans les comptes de ces acheteurs », a déclaré Sartin. « Vous avez donc de nombreuses banques qui examinent ces modèles et signalent cela en amont, et plus ces banques font de bruit à ce sujet, plus il y aura de chances qu’une enquête soit erronée. C’est pourquoi il y a souvent une période de 60 à 90 jours après une violation majeure des données, jusqu’à ce que l’entité chargée de l’enquête arrive et [identifies] le lot de comptes à risque – il n’y a vraiment aucune capacité pour eux d’identifier ce qui est un faux drapeau et ce qui ne l’est pas.