Bronnen in de financiële sector zeggen dat ze tekenen zien dat Dairy Queen mogelijk de nieuwste winkelketen is die het slachtoffer is geworden van cybercriminelen die uit zijn op het stelen van credit en debit card gegevens. Dairy Queen zegt dat het geen aanwijzingen heeft van een kaartinbreuk op een van zijn duizenden locaties, maar het bedrijf erkent ook dat bijna alle winkels franchises zijn en dat er geen vast bedrijfsproces of vereiste is dat franchisenemers beveiligingsproblemen of kaartinbreuken aan het hoofdkantoor van Dairy Queen melden.
Update, 28 aug, 12:08 p.m. ET: Een woordvoerder van Dairy Queen heeft bevestigd dat het bedrijf onlangs van de Amerikaanse geheime dienst heeft gehoord over “verdachte activiteiten” die verband houden met een stam van kaartstelende malware die bij honderden andere winkelinbraken is gevonden. Dairy Queen zegt nog bezig te zijn met het onderzoek en de samenwerking met de autoriteiten, en weet nog niet hoeveel winkels mogelijk zijn getroffen.
Oorspronkelijk verhaal:
Ik hoorde minstens twee weken geleden voor het eerst berichten over een mogelijke kaartinbraak bij Dairy Queen, maar kon geen bevestigende tekenen daarvan vinden – noch door rond te neuzen in schimmige online “kaartwinkels”, noch door te praten met bronnen in de banksector. De afgelopen dagen heb ik echter van meerdere financiële instellingen gehoord dat ze te maken hebben met een fraudepatroon met kaarten die allemaal recent zijn gebruikt bij verschillende Dairy Queen-vestigingen in verschillende staten. Er zijn ook aanwijzingen dat dezelfde kaarten worden verkocht in de cybercriminele ondergrondse.
De laatste melding in de loopgraven kwam van een kredietunie in het Midwesten van de Verenigde Staten. De persoon die verantwoordelijk is voor fraudepreventie bij deze kredietunie reikte uit om te weten of ik had gehoord van een inbreuk bij Dairy Queen, verklarend dat de financiële instelling fraude had ontdekt op kaarten die allemaal onlangs waren gebruikt bij een half dozijn Dairy Queen-locaties in en rond zijn thuisstaat.
Volgens de kredietunie waren meer dan 50 klanten alleen al in de afgelopen paar dagen het slachtoffer geworden van een sneeuwstorm van kaartfraude na het gebruik van hun credit- en debetkaarten bij Dairy Queen-locaties – sommige zo ver weg als Florida – en het fraudepatroon suggereert dat de DQ-winkels minstens zo ver terug als begin juni 2014 werden gecompromitteerd.
“We worden vandaag overspoeld,” zei de fraudemanager dinsdagochtend over fraudeactiviteit die terug te voeren is op ledenkaarten die de afgelopen drie weken op verschillende Dairy Queen-locaties zijn gebruikt. “We krijgen allerlei fraudegevallen binnen van leden die valse kopieën van hun kaarten hebben die gebruikt zijn bij dollar stores en kruidenierswinkels.”
Andere financiële instellingen gecontacteerd door deze verslaggever hebben recente fraude gezien op kaarten die allemaal werden gebruikt bij Dairy Queen-locaties in Florida en verschillende andere staten, waaronder Alabama, Indiana, Illinois, Kentucky, Ohio, Tennessee en Texas.
Op vrijdag 22 augustus sprak KrebsOnSecurity met Dean Peters, directeur communicatie van de in Minneapolis gevestigde fastfoodketen. Peters zei dat het bedrijf geen meldingen van kaartfraude op individuele DQ-locaties had gehoord, maar hij benadrukte dat bijna alle Dairy Queen-winkels onafhankelijk eigendom zijn en worden geëxploiteerd. Op de vraag of DQ een soort vereiste heeft dat zijn franchisenemers het bedrijf op de hoogte stellen in het geval van een inbreuk op de beveiliging of een probleem met hun kaartverwerkingssystemen, zei Peters nee.
“Op dit moment is er geen dergelijk beleid,” zei Peters. “We zouden hen helpen als ze contact met ons opnemen over een inbreuk, maar tot nu toe hebben we van geen van onze franchisenemers gehoord dat ze een inbreuk hebben gehad.”
Julie Conroy, onderzoeksdirecteur bij het adviesbureau Aite Group, zei dat landelijke bedrijven zoals Dairy Queen absoluut een inbreukmeldingsbeleid moeten hebben voor franchisenemers, al was het alleen maar om de integriteit van het merk en het publieke imago van het bedrijf te beschermen.
“Zonder twijfel is dit een merkbeschermingskwestie,” zei Conroy. “Dit gaat terug naar de eeuwige uitdaging met alle kleine kooplieden. Zelfs bij bedrijven als Dairy Queen, waar het moederschip enorm is, zijn de afzonderlijke vestigingen in wezen moeder-en-pop-winkels, en veel van deze winkels denken nog steeds niet dat ze een doelwit zijn voor dit soort fraude. Bij uitbreiding is het moederschip gericht op het hoeden van een stel katten in de vorm van duizenden franchisenemers, en ze denken niet dat al deze winkels doelwitten zijn voor cybercriminelen en dat ze er een soort bedrijfsbreed beleid voor moeten hebben. In feite zijn franchisemerken die zo’n beleid hebben veel meer uitzondering dan regel.”
DEJA VU ALL OVER AGAIN?
De situatie die zich blijkbaar ontwikkelt met Dairy Queen doet denken aan soortgelijke meldingen vorige maand van meerdere banken over kaartfraude die was terug te voeren op tientallen locaties van Jimmy John’s, een landelijke keten van broodjeszaken die ook bijna volledig in franchiseneigendom is. Jimmy John’s heeft gezegd dat het de inbreuken onderzoekt, maar tot nu toe heeft het nog geen meldingen van kaartfraude bij meer dan 1900 winkels in het hele land bevestigd.
De DHS/Secret Service advisory.
Rumblings van een kaartlekken waarbij ten minste een fractie van de 4500 binnenlandse, onafhankelijk gerunde winkels van Dairy Queen is betrokken, komen te midden van steeds luider klinkende waarschuwingen van het Amerikaanse Department of Homeland Security en de Secret Service, die vorige week zeiden dat meer dan 1000 Amerikaanse bedrijven waren getroffen door kwaadaardige software die was ontworpen om creditcardgegevens uit kassasystemen te stelen.
In die waarschuwing waarschuwden de agentschappen dat hackers netwerken hebben gescand op zoek naar point-of-sale-systemen met toegangsmogelijkheden op afstand (denk aan LogMeIn en pcAnywhere), en vervolgens malware hebben geïnstalleerd op POS-apparaten die worden beschermd door zwakke en gemakkelijk te raden wachtwoorden. De waarschuwing merkte op dat ten minste zeven verkopers/providers van verkooppunten bevestigden dat meerdere klanten waren getroffen.
Omstreeks de tijd dat de waarschuwing van de Secret Service uitging, zei UPS Stores, een dochteronderneming van de United Parcel Service, dat het zijn systemen had gescand op tekenen van de malware die in de waarschuwing werd beschreven en dat het inbreuken op de beveiliging had gevonden die kunnen hebben geleid tot de diefstal van krediet- en debetgegevens van klanten in 51 UPS-franchises in de Verenigde Staten (ongeveer 1 procent van zijn 4.470 franchisecentra in de Verenigde Staten). De manier waarop UPS die inbraak onthulde – met een duidelijke vermelding van de getroffen individuele winkels – zou model moeten staan voor andere bedrijven die met gelijkaardige inbreuken worstelen. Verder lezen →