Fontes na indústria financeira dizem que estão vendo sinais de que a Dairy Queen pode ser a última cadeia de varejo a ser vitimada por cybercrooks dobrados em roubar dados de cartão de crédito e débito. A Dairy Queen diz que não tem indicação de quebra de cartão em nenhum de seus milhares de locais, mas a empresa também reconhece que quase todas as lojas são franquias e que não há nenhum processo ou requisito estabelecido da empresa que os franqueados comuniquem problemas de segurança ou quebra de cartão à sede da Dairy Queen.
Atualização, 28 de agosto, 12:08 p.m. ET: Um porta-voz da Dairy Queen confirmou que a empresa ouviu recentemente do Serviço Secreto dos EUA sobre “atividade suspeita” relacionada a uma tensão de malware de roubo de cartões encontrada em centenas de outras intrusões de varejo. A Dairy Queen diz que ainda está investigando e trabalhando com as autoridades, e ainda não sabe quantas lojas podem ser impactadas.
Original story:
Comecei a ouvir relatos de uma possível quebra de cartão na Dairy Queen há pelo menos duas semanas, mas não encontrei nenhum sinal corroborante disso – seja espreitando em sombrias “lojas de cartões” online ou conversando com fontes da indústria bancária. Nos últimos dias, no entanto, ouvi de várias instituições financeiras que dizem estar lidando com um padrão de fraude em cartões que foram usados recentemente em vários locais do Dairy Queen em vários estados. Há também indicações de que esses mesmos cartões estão sendo vendidos no subterrâneo do crime cibernético.
O último relatório nas trincheiras veio de uma cooperativa de crédito no meio-oeste dos Estados Unidos. A pessoa encarregada da prevenção de fraudes nesta cooperativa de crédito chegou querendo saber se eu tinha ouvido falar de uma violação na Dairy Queen, afirmando que a instituição financeira tinha detectado fraudes em cartões que tinham sido usados recentemente em uma meia dúzia de locais da Dairy Queen em seu estado de origem e em torno dele.
De acordo com a união de crédito, mais de 50 clientes foram vitimados por uma nevasca de fraudes com cartões apenas nos últimos dias, após usarem seus cartões de crédito e débito nos locais do Dairy Queen – alguns tão distantes quanto a Flórida – e o padrão de fraude sugere que as lojas DQ foram comprometidas pelo menos até o início de junho de 2014.
“Estamos sendo atacados hoje”, disse o gerente de fraudes na manhã de terça-feira, de atividades de fraude rastreadas até os cartões de membros usados em vários locais do Dairy Queen nas últimas três semanas. “Estamos apenas recebendo todos os tipos de casos de fraude vindos de membros com cópias falsificadas de seus cartões sendo usados em lojas de dólar e mercearias”.”
Outras instituições financeiras contactadas por este repórter viram fraudes recentes em cartões que foram todos usados em locais da Dairy Queen na Florida e em vários outros estados, incluindo Alabama, Indiana, Illinois, Kentucky, Ohio, Tennessee e Texas.
Na sexta-feira, 22 de Agosto, a KrebsOnSecurity falou com Dean Peters, director de comunicações da cadeia de fast-food baseada em Minneapolis. Peters disse que a empresa não ouviu relatos de fraude de cartões em locais individuais da DQ, mas ele enfatizou que quase todas as lojas Dairy Queen eram de propriedade e operadas de forma independente. Quando perguntado se a DQ tinha algum tipo de exigência de que seus franqueados notificassem a empresa no caso de uma quebra de segurança ou problema com seus sistemas de processamento de cartões, Peters disse no.
“Neste momento, não existe tal política”, disse Peters. “Nós os ajudaríamos se nos informassem sobre uma violação, mas até agora não ouvimos de nenhum dos nossos franqueados que eles tiveram qualquer tipo de violação”, disse Conroy. “
Julie Conroy, diretora de pesquisa da empresa de consultoria Aite Group, disse que empresas de todo o país como a Dairy Queen deveriam absolutamente ter políticas de notificação de violação em vigor para os franqueados, se não por nenhum outro motivo a não ser para proteger a integridade da marca da empresa e a imagem pública.
“Sem dúvida, esta é uma questão de proteção da marca”, disse Conroy. “Isto remonta ao eterno desafio com todos os pequenos comerciantes. Mesmo com empresas como a Dairy Queen, onde a nave-mãe é enorme, cada um dos estabelecimentos individuais são essencialmente lojas de mãe e pai, e muitas dessas lojas ainda não pensam que são um alvo para este tipo de fraude. Por extensão, a nave-mãe está focada em rebocar um bando de gatos na forma de milhares de franqueados, e eles não estão pensando que todas essas lojas são alvos de cibercriminosos e que eles deveriam ter algum tipo de política de toda a empresa sobre isso. De facto, as marcas franchisadas que têm esse tipo de política em vigor são muito mais a excepção do que a regra”
DEJA VU ALL OVER AGAIN?
A situação aparentemente a desenvolver-se com a Dairy Queen faz lembrar relatórios semelhantes no mês passado de vários bancos sobre fraudes com cartões que remontam a dezenas de localizações de Jimmy John’s, uma cadeia de lojas de sanduíches a nível nacional que também é quase inteiramente detida pelos franchisados. Jimmy John’s disse que está investigando as alegações de violação, mas até agora não confirmou relatórios de violações de cartões em nenhuma de suas mais de 1.900 lojas em todo o país.
O DHS/Secret Service advisory.
Rumores de uma quebra de cartão envolvendo pelo menos alguma fração das 4.500 lojas domésticas e independentes da Dairy Queen vêm em meio a avisos cada vez mais vocais dos Estados Unidos. Department of Homeland Security and the Secret Service, que na semana passada disse que mais de 1.000 empresas americanas foram atingidas por software malicioso projetado para roubar dados de cartão de crédito de sistemas de caixa registradora.
Naquele alerta, as agências advertiram que os hackers têm varrido as redes em busca de sistemas de ponto de venda com recursos de acesso remoto (pense em LogMeIn e pcAnywhere), e depois instalado malware em dispositivos POS protegidos por senhas fracas e fáceis de adivinhar. O alerta observou que pelo menos sete fornecedores/provedores de ponto de venda confirmaram que tiveram vários clientes afetados.
Toda a hora em que o alerta do Serviço Secreto foi emitido, as Lojas UPS, uma subsidiária do United Parcel Service, disseram que verificaram seus sistemas em busca de sinais do malware descrito no alerta e encontraram brechas de segurança que podem ter levado ao roubo de dados de crédito e débito de clientes em 51 franquias UPS nos Estados Unidos (cerca de 1% de suas 4.470 localizações de centros franqueados em todos os Estados Unidos). A propósito, a forma como a UPS lidou com essa revelação de violação – chamando claramente as lojas individuais afetadas – deve servir de modelo para outras empresas que lutam com violações semelhantes. Continue lendo →