À la fin de l’année dernière, BreachTrace a écrit que deux énormes pans de numéros de cartes de crédit mis en vente dans le milieu de la cybercriminalité avaient probablement été volés. Park ‘N Fly et de OneStopParking.com, des services de stationnement d’aéroport concurrents qui permettent aux clients de réserver des places à l’avance via des systèmes de réservation Internet. Cette semaine, les deux entreprises ont confirmé qu’elles avaient bien subi une brèche.
Contacté par cet auteur le 15 décembre, Park ‘N Fly, basé à Atlanta, a déclaré que bien qu’il ait récemment engagé plusieurs sociétés de sécurité pour enquêter sur des allégations de violation, il n’avait trouvé aucune preuve d’une intrusion. Dans un communiqué publié mardi, cependant, la société a reconnu que son site avait été piraté et avait divulgué des données de carte de crédit, mais s’est abstenue de dire combien de temps la violation a persisté ou combien de clients auraient pu être touchés. Une partie de leur déclaration lit:
« Park ‘N Fly (« PNF ») a pris connaissance d’une faille de sécurité concernant les données de carte de paiement traitées via son site e-commerce. PNF a travaillé en permanence pour comprendre la nature et la portée de l’incident, et a engagé des experts tiers en criminalistique des données pour l’aider dans son enquête. La compromission des données a été contenue. Pendant que l’enquête est en cours, il a été déterminé que la sécurité de certaines données de certaines cartes de paiement utilisées pour effectuer des réservations via le site Web de commerce électronique de PNF est menacée. Les données potentiellement à risque comprennent le numéro de carte, le nom et l’adresse de facturation du titulaire de la carte, la date d’expiration de la carte et le code CVV. Les autres données client de fidélité potentiellement à risque comprennent les adresses e-mail, les mots de passe Park ‘N Fly et les numéros de téléphone.
Le Park ‘N Fly page d’accueil comprend désormais un avis bien visible indiquant que le site Web est temporairement incapable de traiter les transactions et dirige les clients vers un 1-800 pour les réservations.
La lecture de la divulgation Park ‘N Fly m’a fait me demander si quelque chose avait changé chez OneStopParking.com, un concurrent basé à Florence, Ky. que BreachTrace a signalé le 30 décembre 2014 comme la source probable d’une autre violation de commerce électronique. Joint par téléphone ce matin, le responsable du site Amer Ghanem a déclaré que la société a récemment déterminé que des pirates avaient pénétré dans ses systèmes via une vulnérabilité dans Joomla pour lesquels des correctifs ont été mis à disposition en septembre 2014. Malheureusement pour OneStopParking.com et ses clients, la société a reporté l’application de cette mise à jour Joomla car elle a cassé des parties du site.
Ghanem a déclaré que son entreprise était en train d’informer les clients concernés.
Contrairement aux données de carte volées aux détaillants de la rue principale – qui peuvent être encodées sur du nouveau plastique et utilisées pour acheter des biens volés dans des magasins de détail physiques – les cartes volées lors de transactions en ligne ne peuvent être utilisées que par des voleurs pour des achats en ligne frauduleux. Cependant, la plupart des magasins de cartes en ligne qui vendent des données de cartes volées dans des magasins souterrains commercialisent les deux types de cartes, connues dans le langage des voleurs sous le nom de «décharges» et de «CVV», respectivement.
Les CVV volés remontant à la fois à Park ‘N Fly et à Onestopparking.com étaient parmi des milliers à vendre dans de grands lots de données de cartes colportées à Réscateur[dot]cm, le même magasin du crime qui a d’abord déplacé les cartes volées dans les brèches de vente au détail chez Home Depot, Target, Sally Beauty, PF Chang’s et Harbor Freight. Le prix des données de carte dans les deux lots variait de 6 $ à 9 $ par carte et comprenait le numéro de carte, la date d’expiration, le code de vérification de carte à 3 chiffres, ainsi que le nom, l’adresse et le numéro de téléphone du titulaire de la carte.
Les cartes de la base « Solidus » à Rescator retournent à One Stop Parking.
Comme on pouvait s’y attendre, Park ‘N Fly offre aux consommateurs concernés 12 mois de services gratuits de surveillance du crédit, même si les services de protection du crédit ne font généralement rien pour détecter ou prévenir la fraude sur les comptes existants, tels que les cartes de crédit. Pour en savoir plus sur ce que font (et ne font pas) les services de surveillance du crédit, consultez cet abécédaire.
Fait intéressant, le calendrier de divulgation de ces deux sociétés aurait été conforme à une nouvelle loi sur la notification des violations de données que le président Obama a réclamée plus tôt cette semaine. Cette proposition obligerait les entreprises à informer les consommateurs d’une violation dans les 30 jours suivant la découverte que leurs informations ont été piratées.