Fonti dell’industria finanziaria dicono che stanno vedendo i segni che Dairy Queen può essere l’ultima catena di vendita al dettaglio ad essere vittima di cybercriminali che rubano i dati delle carte di credito e debito. Dairy Queen dice di non avere alcuna indicazione di una violazione della carta in nessuna delle sue migliaia di sedi, ma la società riconosce anche che quasi tutti i negozi sono in franchising e che non vi è alcun processo aziendale stabilito o requisito che i franchisee comunichino problemi di sicurezza o violazioni della carta alla sede centrale di Dairy Queen.
Aggiornamento, 28 agosto, 12:08 p.m. ET: Un portavoce di Dairy Queen ha confermato che l’azienda ha recentemente sentito dal servizio segreto degli Stati Uniti su “attività sospette” relative a un ceppo di malware ruba-carte trovato in centinaia di altre intrusioni al dettaglio. Dairy Queen dice che sta ancora indagando e lavorando con le autorità, e non sa ancora quanti negozi possono essere colpiti.
Storia originale:
Ho iniziato a sentire i rapporti di una possibile violazione della carta di credito presso Dairy Queen almeno due settimane fa, ma non ho potuto trovare segni di conferma – sia appostandomi nell’ombra di “negozi di carte” online o parlando con fonti del settore bancario. Negli ultimi giorni, tuttavia, ho sentito da più istituzioni finanziarie che dicono di avere a che fare con un modello di frode su carte che sono state tutte recentemente usate in varie località di Dairy Queen in diversi stati. Ci sono anche indicazioni che queste stesse carte sono state vendute nel sottosuolo del crimine informatico.
L’ultimo rapporto in trincea è venuto da una cooperativa di credito nel Midwest degli Stati Uniti. La persona responsabile della prevenzione delle frodi di questa unione di credito ha contattato per sapere se avevo sentito parlare di una violazione al Dairy Queen, affermando che l’istituzione finanziaria aveva rilevato una frode su carte che erano state tutte recentemente utilizzate in una mezza dozzina di sedi Dairy Queen nel suo stato di origine e dintorni.
Secondo l’unione di credito, più di 50 clienti sono stati vittime di una bufera di frodi con le carte solo negli ultimi giorni dopo aver usato le loro carte di credito e di debito presso le sedi Dairy Queen – alcune lontane come la Florida – e il modello di frode suggerisce che i negozi DQ sono stati compromessi almeno fino all’inizio di giugno 2014.
“Oggi siamo stati colpiti”, ha detto il responsabile delle frodi martedì mattina, in merito all’attività di frode che risale alle carte dei membri utilizzate in varie località Dairy Queen nelle ultime tre settimane. “Stiamo ricevendo tutti i tipi di casi di frode dai membri che hanno copie contraffatte delle loro carte utilizzate nei negozi del dollaro e nei negozi di alimentari.”
Altre istituzioni finanziarie contattate da questo reporter hanno visto recenti frodi su carte che sono state tutte utilizzate presso Dairy Queen in Florida e in diversi altri stati, tra cui Alabama, Indiana, Illinois, Kentucky, Ohio, Tennessee e Texas.
Venerdì 22 agosto, KrebsOnSecurity ha parlato con Dean Peters, direttore delle comunicazioni per la catena di fast food di Minneapolis. Peters ha detto che la società non ha sentito segnalazioni di frodi con le carte di credito nelle singole sedi DQ, ma ha sottolineato che quasi tutti i negozi Dairy Queen sono di proprietà e gestiti in modo indipendente. Quando gli è stato chiesto se DQ avesse una sorta di requisito che i suoi franchisee notificassero l’azienda in caso di una violazione della sicurezza o di un problema con i loro sistemi di elaborazione delle carte, Peters ha detto di no.
“In questo momento, non c’è una tale politica”, ha detto Peters. “
Julie Conroy, direttore di ricerca presso la società di consulenza Aite Group, ha detto che le aziende a livello nazionale come Dairy Queen dovrebbero assolutamente avere politiche di notifica di violazione in atto per i franchisee, se non altro per proteggere l’integrità del marchio della società e l’immagine pubblica.
“Senza dubbio questo è un problema di protezione del marchio”, ha detto Conroy. “Questo torna all’eterna sfida con tutti i piccoli commercianti. Anche con aziende come Dairy Queen, dove la nave madre è enorme, ognuno dei singoli stabilimenti sono essenzialmente negozi mom-and-pop, e molti di questi negozi ancora non pensano di essere un obiettivo per questo tipo di frode. Per estensione, la nave madre è concentrata sulla gestione di un gruppo di gatti sotto forma di migliaia di franchisee, e non stanno pensando che tutti questi negozi sono obiettivi per i criminali informatici e che dovrebbero avere una sorta di politica aziendale su questo. Infatti, i marchi in franchising che hanno quel tipo di politica in atto sono molto più l’eccezione che la regola.”
DEJA VU ALL OVER AGAIN?
La situazione che apparentemente si sta sviluppando con Dairy Queen ricorda i rapporti simili del mese scorso da più banche sulle frodi con carta di credito rintracciate in decine di sedi di Jimmy John’s, una catena nazionale di paninoteche che è anche quasi interamente di proprietà del franchisee. Jimmy John’s ha detto che sta indagando sulle denunce di violazione, ma finora non ha confermato le segnalazioni di violazioni della carta in uno dei suoi oltre 1.900 negozi a livello nazionale.
L’avviso del DHS/Secret Service.
Le voci di una violazione della carta che coinvolge almeno una parte dei 4.500 negozi nazionali di Dairy Queen, gestiti in modo indipendente, arrivano in mezzo a sempre più forti avvertimenti da parte del Department of Homeland Security and the Secret Service, che la scorsa settimana ha detto che più di 1.000 aziende americane sono state colpite da un software maligno progettato per rubare i dati delle carte di credito dai sistemi dei registratori di cassa.
In quell’allarme, le agenzie hanno avvertito che gli hacker hanno scansionato le reti per i sistemi dei punti vendita con capacità di accesso remoto (pensate a LogMeIn e pcAnywhere), e poi hanno installato malware sui dispositivi POS protetti da password deboli e facilmente intuibili. L’allarme ha notato che almeno sette fornitori/provider di punti vendita hanno confermato di aver avuto più clienti colpiti.
Per il periodo in cui è uscito l’allarme dei servizi segreti, UPS Stores, una filiale della United Parcel Service, ha detto che ha scansionato i suoi sistemi per i segni del malware descritto nell’allarme e ha trovato violazioni della sicurezza che possono aver portato al furto dei dati di credito e debito dei clienti in 51 franchising UPS in tutti gli Stati Uniti (circa l’1 per cento delle sue 4.470 sedi di centri in franchising negli Stati Uniti). Tra l’altro, il modo in cui UPS ha gestito la divulgazione della violazione – chiamando chiaramente i singoli negozi interessati – dovrebbe essere un modello per altre aziende alle prese con violazioni simili. Continua a leggere →