Zdroje z finančního odvětví tvrdí, že se objevují náznaky, že společnost Dairy Queen může být nejnovějším maloobchodním řetězcem, který se stal obětí kyberzločinců usilujících o krádež údajů o kreditních a debetních kartách. Společnost Dairy Queen tvrdí, že nemá žádné náznaky narušení bezpečnosti platebních karet v žádné ze svých tisíců provozoven, ale společnost také přiznává, že téměř všechny prodejny jsou franšízy a že neexistuje žádný zavedený firemní postup nebo požadavek, aby franšízanti oznamovali problémy s bezpečností nebo narušení bezpečnosti platebních karet do centrály společnosti Dairy Queen.
Aktualizace, 28. srpna, 12:08 SELČ: Mluvčí společnosti Dairy Queen potvrdil, že se společnost nedávno dozvěděla od americké tajné služby o „podezřelé aktivitě“ související s kmenem malwaru kradoucího karty, který byl zjištěn u stovek dalších vniknutí do maloobchodních prodejen. Společnost Dairy Queen tvrdí, že případ stále vyšetřuje a spolupracuje s úřady a zatím neví, kolik obchodů může být zasaženo.
Původní zpráva:
Zprávy o možném narušení bezpečnosti platebních karet ve společnosti Dairy Queen jsem poprvé zaslechl nejméně před dvěma týdny, ale nepodařilo se mi najít žádné potvrzující známky – ani číháním ve stinných internetových „karetních obchodech“, ani rozhovory se zdroji z bankovního sektoru. V posledních dnech se mi však ozvalo několik finančních institucí, které tvrdí, že se zabývají podvody s kartami, které byly všechny nedávno použity v různých provozovnách Dairy Queen v několika státech. Existují také náznaky, že tytéž karty jsou prodávány v kybernetickém zločineckém podsvětí.
Nejnovější zpráva ze zákopů přišla od úvěrové unie na středozápadě Spojených států. Osoba odpovědná za prevenci podvodů v této úvěrové unii se ozvala a chtěla vědět, zda jsem slyšel o narušení bezpečnosti v Dairy Queen, a uvedla, že finanční instituce zjistila podvody na kartách, které byly všechny nedávno použity v půl tuctu provozoven Dairy Queen v jejím domovském státě a okolí.
Podle úvěrové unie se jen v posledních dnech stalo více než 50 zákazníků obětí bleskového podvodu s kartami poté, co použili své kreditní a debetní karty v provozovnách Dairy Queen – některé až na Floridě – a vzorec podvodů naznačuje, že obchody DQ byly ohroženy přinejmenším již počátkem června 2014.
„Dnes jsme byli zavaleni,“ řekl v úterý ráno manažer pro podvody o podvodné činnosti, kterou lze vysledovat na základě členských karet použitých v různých provozovnách Dairy Queen v posledních třech týdnech. „Právě nám přicházejí nejrůznější případy podvodů od členů, kteří mají padělané kopie svých karet používaných v dolarových obchodech a obchodech s potravinami.“
Další finanční instituce, které tento reportér kontaktoval, zaznamenaly nedávné podvody s kartami, které byly všechny použity v provozovnách Dairy Queen na Floridě a v několika dalších státech, včetně Alabamy, Indiany, Illinois, Kentucky, Ohia, Tennessee a Texasu.
V pátek 22. srpna mluvil KrebsOnSecurity s Deanem Petersem, ředitelem komunikace řetězce rychlého občerstvení se sídlem v Minneapolis. Peters uvedl, že společnost neslyšela žádné zprávy o podvodech s kartami v jednotlivých provozovnách DQ, ale zdůraznil, že téměř všechny prodejny Dairy Queen jsou nezávisle vlastněné a provozované. Na otázku, zda má společnost DQ nějaký požadavek, aby její franšízanti informovali společnost v případě narušení bezpečnosti nebo problému se systémy zpracování karet, Peters odpověděl, že ne.
„V tuto chvíli žádná taková politika neexistuje,“ řekl Peters. „Pomohli bychom jim, kdyby se na nás obrátili v případě narušení bezpečnosti, ale zatím jsme od žádného z našich franšízantů neslyšeli, že by u nich došlo k nějakému narušení bezpečnosti.“
Julie Conroyová, ředitelka výzkumu poradenské společnosti Aite Group, uvedla, že celostátní společnosti jako Dairy Queen by rozhodně měly mít zavedeny zásady pro oznamování narušení bezpečnosti franšízantům, i kdyby to mělo být z jiného důvodu než kvůli ochraně integrity značky společnosti a jejího obrazu na veřejnosti.
„Bezpochyby se jedná o ochranu značky,“ řekla Conroyová. „To se vrací k věčnému problému všech malých obchodníků. Dokonce i u společností, jako je Dairy Queen, kde je mateřská loď obrovská, jsou jednotlivé provozovny v podstatě obchody typu „máma a táta“ a mnoho z těchto obchodů si stále nemyslí, že jsou cílem tohoto typu podvodu. V důsledku toho se mateřská loď soustředí na pasení hromady koček v podobě tisíců franšízantů a nepřemýšlí o tom, že všechny tyto prodejny jsou cílem kyberzločinců a že by k tomu měly mít nějakou celopodnikovou politiku. Ve skutečnosti jsou franšízové značky, které takovou politiku mají, mnohem spíše výjimkou než pravidlem.“
DEJA VU ALL OVAIN?“
Situace, která se zřejmě vyvíjí u společnosti Dairy Queen, připomíná podobné zprávy z minulého měsíce od několika bank o podvodech s platebními kartami, které byly vysledovány v desítkách provozoven Jimmy John’s, celostátního řetězce prodejen sendvičů, který je rovněž téměř výhradně ve vlastnictví franšízantů. Společnost Jimmy John’s uvedla, že tvrzení o narušení prošetřuje, ale zatím nepotvrdila zprávy o narušení platebních karet v žádné ze svých více než 1900 prodejen po celé zemi.
Doporučení DHS/Secret Service.
Zprávy o narušení bezpečnosti platebních karet, které se týká alespoň části z 4 500 tuzemských, nezávisle provozovaných prodejen společnosti Dairy Queen, přicházejí na pozadí stále hlasitějších varování ze strany USA. ministerstva vnitřní bezpečnosti a tajných služeb, které minulý týden uvedly, že více než 1 000 amerických podniků bylo zasaženo škodlivým softwarem určeným ke krádeži údajů o kreditních kartách z pokladních systémů.
V tomto upozornění agentury varovaly, že hackeři vyhledávají v sítích systémy prodejních míst s možností vzdáleného přístupu (viz LogMeIn a pcAnywhere) a poté instalují škodlivý software do pokladních zařízení chráněných slabými a snadno uhodnutelnými hesly. V upozornění bylo uvedeno, že nejméně sedm prodejců/poskytovatelů prodejních míst potvrdilo, že bylo zasaženo více jejich klientů.
Přibližně v době, kdy bylo upozornění tajných služeb zveřejněno, UPS Stores, dceřiná společnost United Parcel Service, uvedla, že prověřila své systémy na známky malwaru popsaného v upozornění a zjistila narušení bezpečnosti, které mohlo vést ke krádeži kreditních a debetních údajů zákazníků v 51 franšízách UPS po celých Spojených státech (asi 1 % z jejích 4 470 franšízových středisek po celých Spojených státech). Mimochodem, způsob, jakým UPS přistoupila k odhalení tohoto narušení – jasné označení jednotlivých postižených prodejen – by měl být vzorem pro ostatní společnosti, které se potýkají s podobnými narušeními. Pokračovat ve čtení →