le Département des véhicules automobiles de Californie semble avoir subi une violation de données de carte de crédit de grande envergure impliquant des paiements en ligne pour des services liés au DMV, selon des banques de Californie et d’ailleurs qui ont reçu des alertes cette semaine concernant des cartes compromises qui avaient toutes été précédemment utilisées en ligne au California DMV.
L’alerte, envoyée en privé par MasterCard aux institutions financières cette semaine, n’a pas nommé l’entité violée, mais a déclaré que l’organisation en question avait subi une violation de «carte non présente» – l’industrie parle des transactions effectuées en ligne. L’alerte indiquait en outre que la plage de dates des transactions potentiellement compromises s’étendait du 2 août 2013 au 31 janvier 2014 et que les données volées comprenaient le numéro de carte, la date d’expiration et le code de sécurité à trois chiffres imprimé au dos. de cartes.
Cinq institutions financières différentes contactées par cette publication – dont deux banques de taille moyenne en Californie – ont confirmé la réception de l’avis de MasterCard et ont déclaré que toutes les cartes que MasterCard les avait alertées comme compromises avaient été utilisées pour des frais portant la mention « STATE OF CALIF DMV INT ».
Un représentant de MasterCard, s’exprimant en arrière-plan, a confirmé l’envoi d’une alerte cette semaine. Selon des sources bancaires, Visa n’a pas envoyé d’alerte similaire. Un porte-parole de Visa a déclaré que « Visa ne peut pas commenter les éventuelles compromissions de données de tiers ou les enquêtes en cours ».
Contacté au sujet des alertes tôt vendredi après-midi, heure du Pacifique, le porte-parole du DMV de Californie Jessica González a déclaré que l’agence enquêterait sur la question. Atteinte à nouveau à 18h30 PT (bien après les heures d’ouverture du DMV un vendredi), Mme Gonzalez a déclaré que son bureau travaillait tard à la suite de l’enquête de BreachTrace. Elle a déclaré que l’agence était toujours en train de faire approuver une déclaration, mais qu’elle prévoyait d’envoyer la déclaration par courrier électronique plus tard dans la soirée. Jusqu’à présent, cependant, le California DMV n’a pas encore publié de déclaration ni répondu à d’autres demandes de commentaires.
Mise à jour, 18 h 44 HE : Le CA DMV vient de publier la déclaration suivante, qui attribue la responsabilité de l’incident à la société externe de traitement des cartes de l’organisation :
« Le Département des véhicules à moteur a été alerté par les autorités chargées de l’application de la loi d’un problème de sécurité potentiel au sein de ses services de traitement des cartes de crédit. »
« Il n’y a aucune preuve à l’heure actuelle d’une violation directe du système informatique de la DMV. Cependant, par prudence et dans l’intérêt de protéger les informations sensibles des conducteurs californiens, le DMV a ouvert une enquête sur toute violation potentielle de la sécurité en collaboration avec les forces de l’ordre fédérales et étatiques.
« Dans son enquête, le département effectue un examen médico-légal de ses systèmes et recherche des informations concernant toute violation potentielle à la fois du fournisseur externe qui traite les transactions par carte de crédit du DMV et des sociétés de cartes de crédit elles-mêmes. »
Le CA DMV n’a pas précisé qui est son processeur de carte, mais ce document du California Department of General Services semble suggérer que le processeur est Élavonune société basée à Atlanta, Ga. Les représentants d’Elavon n’ont pas pu être immédiatement contactés pour commenter [hat tip to @walshman23 for finding this document].
Mise à jour, 24 mars, 10h54 : Les responsables d’Elavon n’ont pas pu être joints pour commenter. Mais un porte-parole de la société mère d’Elavon Banque américaine a déclaré à cette publication qu ‘«il n’y a eu AUCUNE confirmation d’une violation. Nous sommes en contact avec le CA-DMV et les autorités pour déterminer s’il y a un problème.
Histoire originale :
Si en effet le California DMV a subi une violation de son système de paiement en ligne, on ne sait pas combien de numéros de carte ont pu être volés. Mais l’expérience d’une institution qui a reçu l’alerte MasterCard cette semaine peut offrir une certaine perspective.
L’alerte était adaptée aux banques individuelles, y compris une liste des numéros de cartes de crédit et de débit que chaque banque avait potentiellement exposés. Une banque californienne qui a reçu l’alerte a déclaré que l’avis comprenait une liste de plus de 1 000 cartes que la banque avait émises aux clients. Pour mettre cela en perspective, cette même banque avait un peu plus de 3 000 cartes touchées par la brèche chez Target à la fin de l’année dernière, et c’était une effraction qui a finalement mis en péril plus de 40 millions de numéros de cartes dans les banques du pays.
« Nous voyons deux pour cent de notre base de cartes compromise à cause de cela, et nos cartes sont concentrées à 100 pour cent ici en Californie », a déclaré une source de la petite banque d’État, qui a refusé d’être nommée parce qu’il n’avait pas l’autorisation. parler sur le dossier. « C’est toujours un grand nombre, et c’est une énorme fenêtre d’exposition. »
Selon le dernier statistiques publié par le California DMV, les Californiens ont effectué plus de 11,9 millions de transactions en ligne avec l’agence en 2012, soit une augmentation de 6% par rapport à 2011.
Il est également difficile de savoir si la violation apparente affectant le CA DMV peut avoir impliqué le vol d’informations personnelles supplémentaires et plus sensibles sur les Californiens, telles que les numéros de permis de conduire et de sécurité sociale, les adresses électroniques et physiques, les numéros de téléphone et d’autres données personnelles.
Mise à jour, 16 h 05 HE : Modification du paragraphe d’ouverture pour préciser qu’il s’agit d’une violation impliquant des transactions en ligne, et non dans des emplacements physiques DMV de Californie (qui n’acceptent de toute façon pas les cartes de crédit). En outre, le CA DMV a publié un Page de questions fréquemment posées (FAQ) sur cet incident.