La brèche dans la chaîne d’approvisionnement de bureau Agrafes a touché environ 100 magasins et a été alimenté par une partie de la même infrastructure criminelle que celle observée lors de l’intrusion divulguée plus tôt cette année à Michels magasins d’artisanat, selon des sources proches de l’enquête.
Plusieurs banques interrogées par cet auteur disent avoir reçu des alertes de Visa et MasterCard sur les cartes touchées par la violation chez Staples, et qu’à ce jour, ces alertes suggèrent qu’un sous-ensemble de magasins Staples a été compromis entre juillet et septembre 2014.
Des sources informées de l’enquête en cours indiquent qu’il s’agissait d’un logiciel malveillant voleur de cartes que les intrus ont installé sur les caisses enregistreuses d’environ 100 magasins Staples. Staples, basé à Framingham, dans le Massachusetts, compte plus de 1 800 magasins dans tout le pays.
En réponse aux questions sur ces détails, le porte-parole de Staples Marc Cautela dirait seulement que l’entreprise pense avoir trouvé et supprimé le logiciel malveillant responsable de l’attaque.
« Nous continuons d’enquêter sur un incident de sécurité des données impliquant une intrusion dans certains de nos points de vente et systèmes informatiques », a déclaré Cautela dans un communiqué envoyé par e-mail à BreachTrace. « Nous pensons avoir éradiqué les logiciels malveillants utilisés lors de l’intrusion et avons pris des mesures pour améliorer encore la sécurité de notre réseau. La société travaille avec les forces de l’ordre et enquête pour savoir si des données sur les transactions de détail ont pu être compromises. Il est important de noter que les clients ne sont pas responsables de toute activité frauduleuse sur leurs cartes de crédit signalée en temps opportun.
Une source proche de l’enquête a déclaré que le malware trouvé dans les magasins Staples communiquait avec certains des mêmes réseaux de contrôle que ceux utilisés par les attaquants lors de l’intrusion chez Michaels, une autre brèche de vente au détail qui a été révélée pour la première fois sur ce blog. Michaels reconnaîtra plus tard que l’incident était en fait deux infractions distinctes d’une durée de huit mois qui ont entraîné le vol de plus de trois millions de cartes de crédit et de débit de clients.
La même source a comparé la brèche chez Staples à l’intrusion récemment révélée dans la chaîne d’épicerie nationale Albertson, notant que les deux violations ont entraîné le vol de beaucoup moins de cartes de crédit et de débit des clients que les voleurs auraient pu voler lors de ces attaques. On ne sait toujours pas quels facteurs ont pu limiter le nombre de cartes volées lors de ces violations, en particulier par rapport aux dizaines de millions de cartes volées lors de violations dans des chaînes de distribution nationales similaires comme Target et Home Depot.
Je m’attends à ce que nous entendions parler d’une autre grande chaîne de vente au détail piratée à l’approche d’un autre Black Friday. Tous les détaillants qui traitent encore des données de carte de crédit non cryptées sur leurs réseaux restent une cible attrayante et lucrative pour les attaquants.