A pénzügyi iparágban dolgozó források szerint arra utaló jeleket látnak, hogy a Dairy Queen lehet a legújabb kiskereskedelmi lánc, amely a hitel- és bankkártyaadatok ellopására törő kiberbűnözők áldozata lett. A Dairy Queen azt állítja, hogy nincs jele annak, hogy több ezer telephelyén kártyatörés történt volna, de a vállalat azt is elismeri, hogy szinte minden üzlet franchise-üzlet, és hogy nincs kialakult vállalati folyamat vagy követelmény, hogy a franchise-tulajdonosok tájékoztassák a Dairy Queen központját a biztonsági problémákról vagy a kártyatörésekről.
Frissítés, augusztus 28., 12:08 ET: A Dairy Queen szóvivője megerősítette, hogy a vállalat nemrégiben értesült a U.S. Secret Service-től “gyanús tevékenységről”, amely a több száz más kiskereskedelmi betörésnél talált kártyalopó malware-törzzsel kapcsolatos. A Dairy Queen azt mondja, hogy még mindig vizsgálódik és együttműködik a hatóságokkal, és még nem tudja, hány üzletet érinthet a dolog.
Original story:
Először legalább két hete hallottam jelentéseket egy lehetséges kártyatörésről a Dairy Queennél, de nem találtam erre utaló megerősítő jeleket – sem árnyékos online “kártyaboltokban” leselkedve, sem banki forrásokkal beszélgetve. Az elmúlt napokban azonban több pénzintézettől is hallottam, hogy olyan kártyákkal kapcsolatos csalásokról van szó, amelyeket a közelmúltban több állam különböző Dairy Queen-üzleteiben használtak. Vannak arra utaló jelek is, hogy ugyanezeket a kártyákat a kiberbűnözés alvilágában árulják.
A legutóbbi jelentés a lövészárkokból egy hitelszövetkezettől érkezett az Egyesült Államok középnyugati részén. Ennek a hitelszövetkezetnek a csalásmegelőzésért felelős személye azzal kereste meg, hogy tudni szeretné, hallottam-e már a Dairy Queennél történt betörésről, és közölte, hogy a pénzintézet csalást észlelt olyan kártyákon, amelyeket mind a közelmúltban használtak féltucatnyi Dairy Queen helyszínen a saját államában és környékén.
A hitelszövetkezet szerint csak az elmúlt néhány napban több mint 50 ügyfél vált a kártyacsalások áldozatává, miután hitel- és betéti kártyájukat a Dairy Queen helyszíneken használták – néhányan egészen Floridáig -, és a csalások mintája arra utal, hogy a DQ üzleteket legalább 2014 június elejéig veszélyeztették.
“Ma lecsaptak ránk” – mondta a csalásért felelős vezető kedd reggel a csalási tevékenységről, amely az elmúlt három hétben a Dairy Queen különböző helyszínein használt tagkártyákra vezethető vissza. “Mindenféle csalási ügyek érkeznek be hozzánk a tagoktól, akiknek a kártyáik hamis másolatait dollárboltokban és élelmiszerboltokban használják.”
A riporter által megkeresett más pénzintézetek is láttak a közelmúltban csalást olyan kártyákon, amelyeket mind a Dairy Queen floridai és több más államban, többek között Alabama, Indiana, Illinois, Kentucky, Ohio, Tennessee és Texas államban használtak.”
A KrebsOnSecurity pénteken, augusztus 22-én beszélt Dean Petersszel, a minneapolisi székhelyű gyorsétteremlánc kommunikációs igazgatójával. Peters elmondta, hogy a vállalat nem hallott jelentéseket az egyes DQ helyszíneken történt kártyacsalásokról, de hangsúlyozta, hogy a Dairy Queen üzletek szinte mindegyike független tulajdonú és működtetésű. Arra a kérdésre, hogy a DQ-nak van-e valamilyen követelménye arra vonatkozóan, hogy a franchise-tulajdonosok értesítsék a vállalatot, ha a biztonság megsértése vagy a kártyafeldolgozó rendszerükkel kapcsolatos probléma merül fel, Peters nemmel válaszolt.
“Jelenleg nincs ilyen irányelv” – mondta Peters. “Segítenénk nekik, ha megkeresnének minket egy esetleges jogsértéssel kapcsolatban, de eddig egyetlen franchise-partnerünktől sem hallottunk arról, hogy bármilyen jogsértés történt volna.”
Julie Conroy, az Aite Group tanácsadó cég kutatási igazgatója szerint az olyan országos vállalatoknak, mint a Dairy Queen, mindenképpen rendelkezniük kellene a franchise-partnerekre vonatkozó bejelentési szabályzattal, már csak azért is, hogy megvédjék a vállalat márkájának és nyilvános képének integritását.
“Ez kétségtelenül egy márkavédelmi kérdés” – mondta Conroy. “Ez visszanyúlik az örök kihíváshoz minden kis kereskedőnél. Még az olyan cégek esetében is, mint a Dairy Queen, ahol az anyahajó hatalmas, az egyes létesítmények lényegében kisboltok, és sok ilyen üzlet még mindig nem gondolja, hogy célpontja az ilyen típusú csalásoknak. Az anyahajó tehát arra összpontosít, hogy egy csomó macskát terelgessen több ezer franchise-tulajdonos formájában, és nem gondolnak arra, hogy ezek az üzletek mind a kiberbűnözők célpontjai, és hogy valamiféle vállalati szintű politikát kellene kialakítaniuk ezzel kapcsolatban. Valójában azok a franchise-márkák, amelyeknek van ilyen irányelve, sokkal inkább a kivételek, mint a szabály.”
DEJA VU ALL OVER AGAIN?
A Dairy Queen esetében kialakult helyzet emlékeztet a múlt hónapban több banktól érkezett hasonló jelentésekre, amelyek a Jimmy John’s, egy országos szendvicsboltlánc több tucat helyszínére visszavezethető kártyacsalásokról szóltak, amely szintén szinte teljes egészében franchise-tulajdonban van. A Jimmy John’s közölte, hogy vizsgálja a jogsértésről szóló állításokat, de egyelőre nem erősítette meg az országszerte több mint 1900 üzletében történt kártyacsalásokról szóló jelentéseket.
A DHS/Secret Service tanácsadója.
A Dairy Queen 4500 hazai, függetlenül működtetett üzletének legalább egy részét érintő kártyatörésről szóló pletykák a Dairy Queen egyre hangosabb figyelmeztetések közepette érkeznek az Egyesült Államokból. Belbiztonsági Minisztérium és a Secret Service, amelyek a múlt héten közölték, hogy több mint 1000 amerikai üzletet támadott meg egy rosszindulatú szoftver, amelynek célja a hitelkártyaadatok ellopása a pénztárgéprendszerekből.
Az ügynökségek arra figyelmeztettek, hogy a hackerek a hálózatokat távoli hozzáférési lehetőségekkel rendelkező POS-rendszerek után kutatják (gondoljunk csak a LogMeIn-re és a pcAnywhere-re), majd rosszindulatú szoftvereket telepítenek a gyenge és könnyen kitalálható jelszavakkal védett POS-eszközökre. A riasztás megjegyezte, hogy legalább hét értékesítési pontok eladói/szolgáltatói megerősítették, hogy több ügyfelük is érintett volt.
A Secret Service riasztásának megjelenése körül a UPS Stores, a United Parcel Service leányvállalata közölte, hogy átvizsgálta rendszereit a riasztásban leírt rosszindulatú szoftverek jelei után, és olyan biztonsági rést talált, amely az Egyesült Államok 51 UPS franchise-központjában (az Egyesült Államokban található 4470 franchise-központ mintegy 1 százaléka) az ügyfelek hitel- és betéti adatainak ellopásához vezethetett. Egyébként az a mód, ahogyan a UPS a jogsértés nyilvánosságra hozatalát kezelte – egyértelműen megnevezve az egyes érintett üzleteket – mintaként kellene, hogy szolgáljon más, hasonló jogsértésekkel küzdő vállalatok számára. Folytassa az olvasást →