Wendy’s a déclaré aujourd’hui qu’une enquête sur une violation de carte de crédit dans la chaîne nationale de restauration rapide a révélé des logiciels malveillants sur les systèmes de point de vente dans moins de 300 des 5 500 magasins franchisés de l’entreprise. La société affirme que l’enquête sur la violation se poursuit, mais que le logiciel malveillant a été supprimé de tous les emplacements concernés.
« Sur la base des conclusions préliminaires de l’enquête et d’autres informations, la société estime que les logiciels malveillants, installés grâce à l’utilisation d’informations d’identification de fournisseurs tiers compromises, ont affecté un système de point de vente particulier dans moins de 300 des quelque 5 500 restaurants franchisés d’Amérique du Nord Wendy’s. , à compter de l’automne 2015 », a révélé Wendy’s dans ses états financiers du premier trimestre aujourd’hui. La déclaration continue :
« Ces résultats indiquent également que le système de point de vente Aloha n’a pas été impacté par cette activité. Le système Aloha est déjà installé dans tous les restaurants exploités par la société et dans la majorité des restaurants exploités en franchise, avec une mise en œuvre dans tout le système nord-américain prévue d’ici la fin de l’année 2016. La société s’attend à recevoir un rapport final de son enquêteur en le futur proche. »
« La société a travaillé de manière agressive avec son enquêteur pour identifier la source du logiciel malveillant et quantifier l’étendue des cyberattaques malveillantes, et a désactivé et éradiqué le logiciel malveillant dans les restaurants concernés. La société continue de travailler selon un processus défini avec les marques de cartes de paiement, son enquêteur et les autorités fédérales chargées de l’application de la loi pour mener à bien l’enquête.
« Sur la base de l’enquête à ce jour, environ 50 restaurants franchisés sont soupçonnés d’avoir rencontré, ou se sont avérés avoir, des problèmes de cybersécurité non liés. La société et les franchisés concernés s’efforcent de vérifier et de résoudre ces problèmes. »
Les conclusions interviennent alors que de nombreuses banques et coopératives de crédit ressentant la douleur de la fraude par carte à cause de la violation se plaignent de l’étendue et de la durée de la violation. Des sources de plusieurs institutions financières affirment que leurs données indiquent que certains des établissements Wendy’s piratés divulguaient encore des données de carte client jusqu’à la fin mars 2016 et début avril. La violation a été divulguée pour la première fois sur ce blog le 27 janvier 2016.
« Notre enquête en cours sur l’activité inhabituelle des cartes de paiement dans certains restaurants Wendy’s est dirigée par un PFI tiers et se déroule aussi rapidement que possible », a déclaré le porte-parole de Wendy’s. Bob Bertini a déclaré en réponse à des questions sur la durée de la violation dans certains magasins. « Comme vous le savez, notre enquêteur est tenu de suivre certains protocoles dans ce type d’enquête approfondie et cela prend du temps. Ajoutant à la complexité est le fait que la plupart des restaurants Wendy’s sont détenus et exploités par des franchisés indépendants.