Systèmes Signature Inc.le fournisseur de point de vente accusé d’une violation de carte de crédit et de débit impliquant quelque 216 emplacements de sandwicherie Jimmy John’s, affirme maintenant que la violation pourrait également avoir compromis les numéros de carte client dans près de 100 autres restaurants indépendants à travers le pays qui utilisent ses produits.
Plus tôt cette semaine, Champaign, Ill. Chez Jimmy John a confirmé les soupçons soulevés pour la première fois par cet auteur le 31 juillet 2014 : que des pirates avaient installé des logiciels malveillants de vol de cartes sur les caisses enregistreuses de certains de ses magasins. Jimmy John’s a déclaré que l’intrusion – qui a duré du 16 juin 2014 au 5 septembre 2014 – s’est produite lorsque des pirates ont compromis le nom d’utilisateur et le mot de passe nécessaires pour administrer à distance les systèmes de point de vente dans 216 magasins.
Ces systèmes de point de vente ont été produits par Signature Systems, fournisseur de paiement basé à Newtown, en Pennsylvanie. Dans un communiqué publié au cours des dernières 24 heures, Signature Systems publié plus d’informations sur le cambriolage, ainsi qu’une liste de près de 100 autres magasins – pour la plupart de petits restaurants familiaux et pizzerias – qui ont été compromis lors de la même attaque.
« Nous avons déterminé qu’une personne non autorisée avait eu accès à un nom d’utilisateur et à un mot de passe que Signature Systems utilisait pour accéder à distance aux systèmes de point de vente », a écrit la société. « La personne non autorisée a utilisé cet accès pour installer un logiciel malveillant conçu pour capturer les données des cartes de paiement à partir des cartes qui ont été glissées dans les terminaux de certains restaurants. Le logiciel malveillant était capable de capturer le nom, le numéro de carte, la date d’expiration et le code de vérification du titulaire de la carte à partir de la bande magnétique de la carte. »
Pendant ce temps, il y a des questions quant à savoir si le produit de base de Signature – PDV PDQ — satisfait même aux exigences de sécurité les plus élémentaires énoncées par la Conseil des normes de sécurité PCI pour les systèmes de paiement en point de vente. Selon les archives du conseil, PDQ POS n’a pas été approuvé pour de nouvelles installations après le 28 octobre 2013. En conséquence, tous les magasins Jimmy John’s et autres restaurants concernés qui ont installé le produit PDQ après la date d’expiration du 28 octobre 2013 pourraient être passibles d’amendes. et autres sanctions.
Cet instantané du PCI Council montre que PDQ POS n’a pas été approuvé pour les nouvelles installations après le 28 octobre 2013.
De plus, la société qui a effectué l’audit de sécurité sur PDQ – une société aujourd’hui disparue appelée Chefs de la sécurité — semble être la seule entreprise d’évaluation de sécurité qualifiée à avoir obtenu sa certification pouvoir révoqué (PDF) par le Conseil des normes de sécurité PCI.
En réponse à l’enquête de BreachTrace, Jimmy John’s a noté que sur les 216 magasins concernés, 13 ont été ouverts après le 28 octobre 2013.
« Nous avons compris, de notre fournisseur de technologie de point de vente, que les systèmes de paiement installés dans ces magasins, comme dans tous les emplacements, étaient conformes à la norme PCI », a déclaré Jimmy Johns dans un communiqué. « Nous travaillons de manière indépendante et agissons aussi rapidement que possible pour installer des terminaux de paiement autonomes conformes à la norme PCI dans ces 13 magasins. Ceci est supervisé par le directeur des technologies de l’information de Jimmy John, qui confirmera l’achèvement de ce travail directement avec chaque site. Dans le cadre de notre réponse plus large à l’incident de sécurité, des mesures ont déjà été prises dans ces 13 magasins, ainsi que dans les autres emplacements concernés, pour supprimer les logiciels malveillants, et pour installer et garantir l’utilisation de l’authentification à double facteur pour l’accès à distance et le chiffrement. technologie de balayage pour les achats en magasin. De plus, les systèmes utilisés dans tous nos magasins sont analysés chaque jour à la recherche de logiciels malveillants. »
Pour sa part, Signature Systems affirme avoir développé une nouvelle application de paiement qui comprend des lecteurs de cartes qui utilisent un cryptage point à point capable de bloquer les logiciels malveillants au point de vente.