La violation de carte de crédit récemment annoncée à Le bistrot chinois de PF Chang semble avoir duré au moins neuf mois : de nouvelles informations indiquent que la violation de la chaîne de restaurants nationale a commencé le ou vers le 18 septembre 2013 et ne s’est terminée que le 11 juin, un jour après que BreachTrace.com a annoncé la nouvelle. à propos de l’effraction.
Chaque fois qu’il y a une violation de données qui met en péril les comptes de carte de crédit, Visa, MasterCard et les autres associations de cartes émettent généralement des cartes privées Système de gestion de compte compromis (CAMS) alerte les banques émettrices de leurs cartes. Le but de ces alertes CAMS est d’informer ces institutions des cartes spécifiques qui auraient été affectées par une violation, afin que les institutions puissent réémettre les cartes ou prendre des mesures supplémentaires pour gérer l’exposition à la fraude sur ces comptes.
Le 17 juin, Visa a émis une nouvelle alerte CAMS à l’une des banques avec lesquelles j’ai travaillé pour rapporter l’histoire de PF Chang, leur faisant savoir qu’ils avaient plusieurs centaines de cartes exposées lors d’une récente violation qui remontait au 18 septembre. 2013. Cette banque avait acheté plus d’une douzaine de cartes vendues dans un magasin souterrain qui vendait exclusivement des cartes volées lors de l’effraction de PF Chang, et chacune de ces cartes figurait sur l’alerte CAMS du 17 juin de Visa.
Le document Visa n’a pas nommé PF Chang’s comme source de la violation (les alertes CAMS n’identifient généralement pas directement le commerçant victime). Visa a refusé de commenter cette histoire. Porte-parole de PF Chang Anne Deanovic a refusé de répondre aux questions directes sur la fenêtre de violation, affirmant dans un communiqué mardi que la société n’avait pas encore déterminé le moment exact de la violation. Deanovic a ajouté que rien n’indique que la violation s’est étendue à l’un de ses 192 restaurants Pei Wei Asian Diner à travers le pays.
On ne sait pas combien de cartes au total ont été compromises dans la brèche, mais nous pouvons faire des suppositions éclairées. Selon ce compte de résultat du premier trimestre 2012 pour PF Chang’s, les restaurants de l’entreprise génèrent environ 320 millions de dollars de ventes chaque trimestre, soit environ 100 millions de dollars par mois. En supposant un chèque client moyen de 100 $ – et en tenant compte des clients réguliers et des personnes qui paient en espèces – cela signifie que les sites PFC à l’échelle nationale traitent probablement environ 800 000 transactions par carte de crédit et de débit chaque mois. Et ceci est basé sur les estimations de revenus de 2012, donc c’est prudent.
En supposant que la violation ait affecté les 211 sites de PF Chang aux États-Unis (une hypothèse sûre puisque PF Chang est récemment passé à des imprimeurs manuels de cartes à copie carbone « knucklebuster » sur tous les sites), la violation de neuf mois a probablement touché plus de 7 millions de cartes.