Chaîne d’approvisionnement de bureau Agrafes Inc. a finalement reconnu aujourd’hui qu’une intrusion de logiciels malveillants cette année dans certains de ses magasins avait entraîné une violation de carte de crédit. La société affirme maintenant que quelque 119 magasins ont été touchés entre avril et septembre 2014, et que jusqu’à 1,16 million de cartes de crédit et de débit de clients pourraient avoir été volées en conséquence.
BreachTrace a d’abord signalé la violation présumée le 20 octobre 2014, après avoir entendu plusieurs banques qui avaient identifié un schéma de fraude par carte de crédit et de débit suggérant que plusieurs sites de fournitures de bureau Staples dans le nord-est des États-Unis étaient confrontés à une violation de données. À l’époque, Staples disait seulement qu’il enquêtait sur « un problème potentiel » et avait contacté les forces de l’ordre.
Dans une déclaration publié aujourd’hui, Staples a publié une liste de magasins (PDF) touché par le malware voleur de cartes, et les magasins ne se limitent pas au nord-est des États-Unis.
« Dans 113 magasins, le logiciel malveillant peut avoir autorisé l’accès à ces données pour les achats effectués du 10 août 2014 au 16 septembre 2014 », a révélé Staples. « Dans deux magasins, le logiciel malveillant peut avoir autorisé l’accès aux données des achats effectués du 20 juillet 2014 au 16 septembre 2014. »
Cependant, la société a déclaré qu’au cours de l’enquête, Staples avait également reçu des rapports d’utilisation frauduleuse de cartes de paiement liées à quatre magasins à Manhattan, New York, à divers moments d’avril à septembre 2014.
Aviv Raff, directeur de la technologie chez Séculerta déclaré que le temps minimum par magasin pour détecter et répondre à la violation était en moyenne de 40 jours.
« Une fois de plus, tout comme les violations précédentes, les statistiques de la violation des Staples montrent la nécessité de passer d’essayer d’empêcher une attaque pour essayer de détecter et de répondre le plus rapidement possible », a déclaré Raff.
Source : Séculert
Il semble que les attaquants responsables du cambriolage de Staples ne soient pas le même groupe que l’on pense avoir frappé Target et Home Depot. En novembre, j’ai publié un article qui citait des sources proches de l’enquête de Staples disant que la brèche chez Staples avait touché environ 100 magasins et était alimentée par une partie de la même infrastructure criminelle que celle observée lors de l’intrusion révélée plus tôt cette année dans les magasins d’artisanat Michaels.