Rahoitusalan lähteet sanovat näkevänsä merkkejä siitä, että Dairy Queen saattaa olla viimeisin vähittäismyyntiketju, jonka uhriksi ovat joutuneet luotto- ja pankkikorttitietojen varastamiseen pyrkivät tietoverkkorikolliset. Dairy Queen sanoo, ettei sillä ole viitteitä korttimurrosta missään sen tuhansista toimipisteistä, mutta yhtiö myöntää myös, että lähes kaikki myymälät ovat franchising-yrityksiä eikä yrityksellä ole vakiintunutta prosessia tai vaatimusta siitä, että franchising-yrittäjät ilmoittaisivat tietoturvaongelmista tai korttimurroista Dairy Queenin pääkonttoriin.
Päivitys, 28.8. klo 12:08 ET: Dairy Queenin tiedottaja on vahvistanut, että yhtiö on hiljattain kuullut Yhdysvaltain salaiselta palvelulta ”epäilyttävästä toiminnasta”, joka liittyy kortteja varastavaan haittaohjelmaan, jota on löydetty sadoissa muissa vähittäismyymälämurroissa. Dairy Queen sanoo tutkivansa asiaa edelleen ja tekevänsä yhteistyötä viranomaisten kanssa, eikä se vielä tiedä, kuinka moneen myymälään se on saattanut vaikuttaa.
Original story:
Aloin ensimmäisen kerran kuulla raportteja Dairy Queenin mahdollisesta korttimurrosta ainakin kaksi viikkoa sitten, mutta en löytänyt siitä mitään vahvistavia merkkejä – sen enempää hämäräperäisissä verkko-”korttiputiikeissa” lymyilemällä kuin pankkialalla toimivien lähteidensä kanssa keskustelemalla. Viime päivinä olen kuitenkin kuullut useilta rahoituslaitoksilta, jotka ovat kertoneet, että ne ovat olleet tekemisissä petosten kanssa, jotka liittyvät kortteihin, joita on hiljattain käytetty Dairy Queenin eri toimipaikoissa useissa osavaltioissa. On myös viitteitä siitä, että näitä samoja kortteja myydään tietoverkkorikollisuuden alamaailmassa.
Viimeisin raportti juoksuhaudoista tuli eräältä luotto-osuuskunnalta Yhdysvaltojen keskilänsiosissa. Tämän luottoyhdistyksen petostentorjunnasta vastaava henkilö otti yhteyttä ja halusi tietää, olenko kuullut Dairy Queenissa tapahtuneesta tietomurrosta, ja ilmoitti, että rahoituslaitos oli havainnut petoksia korteilla, joita kaikkia oli hiljattain käytetty puolessa tusinassa Dairy Queenin toimipistettä sen kotiosavaltiossa ja sen ympäristössä.
Luottoyhdistyksen mukaan yli 50 asiakasta oli joutunut pelkästään viime päivinä yli 50 korttipetoksen uhriksi käytettyään luotto- ja pankkikorttejaan Dairy Queenin toimipisteissä – jotkut jopa Floridassa – ja petosten kuvio viittaa siihen, että DQ-kaupat olivat joutuneet vaaraan ainakin kesäkuun 2014 alussa.
”Meidät on lyöty lukkoon tänään”, petospäällikkö sanoi tiistaiaamuna petostoiminnasta, joka juontaa juurensa jäsenkortteihin, joita on käytetty eri Dairy Queenin toimipisteissä viimeisten kolmen viikon aikana. ”Saamme kaikenlaisia petostapauksia jäseniltä, joilla on väärennettyjä kopioita heidän korteistaan, joita käytetään dollarikaupoissa ja ruokakaupoissa.”
Toimittajan tavoittamat muut rahoituslaitokset ovat havainneet viimeaikaisia petoksia korteilla, joita on käytetty Dairy Queenin toimipisteissä Floridassa ja useissa muissa osavaltioissa, kuten Alabamassa, Indianassa, Illinoisissa, Kentuckyssa, Ohiossa, Tennesseessä ja Teksasissa.”
Perjantaina 22. elokuuta KrebsOnSecurity keskusteli Minneapolisissa sijaitsevan pikaruokaketjun viestintäjohtajan Dean Petersin kanssa. Peters sanoi, että yhtiö ei ole kuullut raportteja korttipetoksista yksittäisissä DQ-paikoissa, mutta hän korosti, että lähes kaikki Dairy Queen -liikkeet ovat itsenäisesti omistettuja ja operoituja. Kysyttäessä, oliko DQ:lla jonkinlainen vaatimus siitä, että sen franchising-yrittäjät ilmoittaisivat yhtiölle, jos niiden korttikäsittelyjärjestelmissä ilmenisi tietoturvaloukkaus tai ongelma, Peters vastasi kieltävästi.
”Tällä hetkellä sellaista käytäntöä ei ole olemassa”, Peters sanoi. ”Me auttaisimme heitä, jos he ottaisivat meihin yhteyttä rikkomuksesta, mutta toistaiseksi emme ole kuulleet yhdeltäkään franchise-asiakkaaltamme, että heillä olisi ollut minkäänlaista rikkomusta.”
Julie Conroy, tutkimusjohtaja neuvontayhtiö Aite Groupissa, sanoi, että valtakunnallisilla yrityksillä, kuten Dairy Queenilla, pitäisi ehdottomasti olla franchise-asiakkaiden osalta käytännöt, jotka koskevat rikkomuksista ilmoittamista, jos ei muusta syystä, niin yrityksen tuotemerkin koskemattomuuden ja julkisuuskuvan suojelemiseksi.
”Kyse on ilman muuta tuotemerkin suojelemisesta”, Conroy sanoi. ”Tämä palaa kaikkien pienten kauppiaiden ikuiseen haasteeseen. Jopa Dairy Queenin kaltaisissa yrityksissä, joissa emoyhtiö on valtava, jokainen yksittäinen toimipiste on pohjimmiltaan äiti ja äiti -liike, ja monet näistä liikkeistä eivät vieläkään ajattele, että ne ovat tämäntyyppisten petosten kohde. Näin ollen emoyhtiö keskittyy paimentamaan tuhansia kissoja tuhansien franchising-yrittäjien muodossa, eivätkä ne ajattele, että kaikki nämä myymälät ovat verkkorikollisten kohteita ja että niillä pitäisi olla jonkinlainen koko yrityksen kattava politiikka asiaa varten. Itse asiassa franchising-brändit, joilla on tällainen politiikka, ovat pikemminkin poikkeus kuin sääntö.”
DEJA VU ALL OVER AGAIN?
Tilanne, joka ilmeisesti on kehittymässä Dairy Queenin kohdalla, muistuttaa viime kuussa useilta pankeilta tulleita samankaltaisia raportteja, jotka koskivat korttihuijauksia, jotka jäljitettiin kymmeniin Jimmy John’sin toimipisteisiin, valtakunnalliseen voileipäkauppojen kauppaketjuun, joka niin ikään on miltei kokonaan franchising-yrittäjien omistuksessa. Jimmy John’s on sanonut tutkivansa petosväitteitä, mutta toistaiseksi se ei ole vahvistanut raportteja korttimurroista yhdessäkään sen yli 1 900 myymälässä valtakunnallisesti.
DHS/Secret Service advisory.
Huhut korttirikkomuksesta, joka koskisi ainakin osaa Dairy Queenin 4500:sta kotimaisesta, itsenäisesti pyöritetystä myymälästä, tulevat Yhdysvaltain yhä äänekkäämpien varoitusten keskellä. Department of Homeland Security ja Secret Service, jotka ilmoittivat viime viikolla, että yli 1 000 amerikkalaista yritystä on joutunut sellaisten haittaohjelmien kohteeksi, joiden tarkoituksena on varastaa luottokorttitietoja kassajärjestelmistä.
Tässä varoituksessa virastot varoittivat, että hakkerit ovat skannanneet verkkoja etäkäyttöominaisuuksin varustettujen myyntipistejärjestelmien varalta (ajatelkaapa LogMeIn- ja pcAnywhere-ohjelmia) ja asentaneet haittaohjelmia heikoilla ja helposti arvuuteltavissa olevilla salasanoilla suojattuihin myyntipisteen laitteisiin. Varoituksessa todettiin, että ainakin seitsemän myyntipisteiden myyjää/toimittajaa on vahvistanut, että useat asiakkaat ovat kärsineet vahingoista.
Salaisen palvelun hälytyksen julkaisemisen aikoihin UPS Stores, joka on United Parcel Servicen tytäryhtiö, kertoi skannanneensa järjestelmiään hälytyksessä kuvattujen haittaohjelmien merkkien varalta ja havainneensa tietoturvaloukkauksia, jotka ovat saattaneet johtaa asiakkaiden luotto- ja veloitustietojen varastamiseen 51 UPS:n franchising-verkon toimipisteessä eri puolilla Yhdysvaltoja (eli noin prosentissa UPS:n neljästä neljästä neljästä neljästäkymmenestäeljästäkymmenestäviidestätoista Franchising-verkon kautta toimivasta toimipaikasta eri puolilla Yhdysvaltoja). UPS:n tapa, jolla se käsitteli tietomurron paljastamista – se mainitsi selkeästi yksittäiset myymälät, joita rikkomus koski – olisi muuten hyvä ottaa mallia muille yrityksille, jotka kamppailevat samankaltaisten tietomurtojen kanssa. Jatka lukemista →