Källor inom finansbranschen säger att de ser tecken på att Dairy Queen kan vara den senaste detaljhandelskedjan att bli offer för cyberkriminella som är inriktade på att stjäla kredit- och betalkortsdata. Dairy Queen säger att de inte har några tecken på att det skulle ha skett ett kortintrång på någon av deras tusentals butiker, men företaget erkänner också att nästan alla butiker är franchisetagare och att det inte finns någon etablerad företagsprocess eller något krav på att franchisetagarna ska meddela säkerhetsproblem eller kortintrång till Dairy Queens huvudkontor.
Uppdatering, 28 augusti, kl. 12:08 ET: En talesman för Dairy Queen har bekräftat att företaget nyligen hörde av sig till USA:s Secret Service om ”misstänkt aktivitet” i samband med en typ av skadlig kod som stjäl kort och som hittats i hundratals andra intrång i detaljhandeln. Dairy Queen säger att man fortfarande utreder och samarbetar med myndigheterna och vet ännu inte hur många butiker som kan vara drabbade.
Original story:
Jag började först höra rapporter om ett möjligt kortintrång hos Dairy Queen för minst två veckor sedan, men kunde inte hitta några bekräftande tecken på det – vare sig genom att smyga runt i skuggiga ”kortbutiker” på nätet eller genom att prata med källor inom bankbranschen. Under de senaste dagarna har jag dock hört från flera finansinstitut som säger att de har att göra med ett bedrägerimönster på kort som alla nyligen användes på olika Dairy Queen-butiker i flera stater. Det finns också indikationer på att samma kort säljs i den cyberkriminella underjorden.
Den senaste rapporten från skyttegravarna kom från en kreditförening i Mellanvästern i USA. Den person som ansvarar för bedrägeribekämpning på denna kreditförening hörde av sig och ville veta om jag hade hört talas om ett intrång på Dairy Queen och uppgav att finansinstitutet hade upptäckt bedrägerier på kort som alla nyligen hade använts på ett halvt dussin Dairy Queen-butiker i och omkring dess hemstat.
Enligt kreditföreningen hade mer än 50 kunder drabbats av en snöstorm av kortbedrägerier bara under de senaste dagarna efter att ha använt sina kredit- och betalkort på Dairy Queen-butiker – vissa så långt bort som i Florida – och mönstret av bedrägerier tyder på att DQ-butikerna hade äventyrats åtminstone så långt tillbaka som i början av juni 2014.
”Vi blir överbelastade idag”, sade bedrägeriansvarig på tisdagsmorgonen om bedrägeriaktivitet som går tillbaka till medlemskort som använts på olika Dairy Queen-ställen under de senaste tre veckorna. ”Vi får bara in alla typer av bedrägerifall från medlemmar som har förfalskade kopior av sina kort som används i dollarbutiker och livsmedelsbutiker.”
Andra finansinstitut som denna reporter har kontaktat har sett bedrägerier nyligen på kort som alla användes på Dairy Queen-ställen i Florida och flera andra stater, inklusive Alabama, Indiana, Illinois, Kentucky, Ohio, Tennessee och Texas.”
På fredagen den 22 augusti talade KrebsOnSecurity med Dean Peters, kommunikationsdirektör för den Minneapolisbaserade snabbmatskedjan. Peters sade att företaget inte hade hört några rapporter om kortbedrägerier på enskilda DQ-ställen, men han betonade att nästan alla Dairy Queen-butiker ägs och drivs självständigt. På frågan om DQ hade någon form av krav på att dess franchisetagare skulle meddela företaget i händelse av en säkerhetsöverträdelse eller problem med deras kortbehandlingssystem svarade Peters nej.
”För närvarande finns det ingen sådan policy”, sade Peters. ”Vi skulle hjälpa dem om de hörde av sig till oss om en överträdelse, men hittills har vi inte hört från någon av våra franchisetagare att de har haft någon form av överträdelse.”
Julie Conroy, forskningsdirektör på rådgivningsföretaget Aite Group, sade att rikstäckande företag som Dairy Queen absolut bör ha en policy för att underrätta franchisetagare om överträdelser, om inte annat så för att skydda integriteten hos företagets varumärke och offentliga image.
”Utan tvekan är det här en fråga om varumärkesskydd”, sade Conroy. ”Detta går tillbaka till den eviga utmaningen för alla små köpmän. Även med företag som Dairy Queen, där moderskeppet är enormt, är var och en av de enskilda etableringarna i huvudsak småbutiker, och många av dessa butiker tror fortfarande inte att de är ett mål för den här typen av bedrägerier. I förlängningen är moderbolaget fokuserat på att driva en massa katter i form av tusentals franchisetagare, och de tänker inte på att alla dessa butiker är måltavlor för cyberbrottslingar och att de borde ha någon form av företagsgemensam policy om detta. Faktum är att franchisetagare som har en sådan policy är mer undantag än regel.”
DEJA VU ALL OVER AGAIN?
Den situation som uppenbarligen utvecklas med Dairy Queen påminner om liknande rapporter förra månaden från flera banker om kortbedrägerier som spårades tillbaka till dussintals platser hos Jimmy John’s, en rikstäckande kedja av smörgåsställen som också nästan helt och hållet är franchisetagarägda. Jimmy John’s har sagt att de undersöker påståendena om intrång, men hittills har de inte bekräftat rapporter om kortintrång i någon av sina över 1 900 butiker i hela landet.
Dhemservice och DHS:s underrättelse.
Ryktena om ett kortintrång som berör åtminstone en del av Dairy Queens 4 500 inhemska, självständigt drivna butiker kommer i samband med att USA:s myndighet för säkerhetsskydd och skydd av personuppgifter i allt högre grad varnar för att det skulle ha skett ett kortintrång i hela landet. Department of Homeland Security och Secret Service, som i förra veckan meddelade att mer än 1 000 amerikanska företag hade drabbats av skadlig programvara som är utformad för att stjäla kreditkortsuppgifter från kassasystem.
I denna varning varnade myndigheterna för att hackare har skannat nätverk för kassasystem med fjärråtkomstfunktioner (tänk på LogMeIn och pcAnywhere) och sedan installerat skadlig programvara på kassasystem som är skyddade av svaga och lättgissade lösenord. I varningen noterades att minst sju försäljare/leverantörer av kassasystem bekräftade att flera kunder påverkats.
Omkring samma tid som Secret Service varning gick ut sa UPS Stores, ett dotterbolag till United Parcel Service, att man skannat sina system för att hitta tecken på den skadlig kod som beskrivs i varningen och att man funnit säkerhetsöverträdelser som kan ha lett till stöld av kundernas kredit- och debiteringskoder vid 51 UPS-franchiselokaler runt om i USA (cirka 1 procent av de 4 470 franchiselokaler som företaget har i hela USA). Det sätt på vilket UPS hanterade offentliggörandet av överträdelsen – genom att tydligt nämna de enskilda butiker som berördes – borde vara en förebild för andra företag som kämpar med liknande överträdelser. Fortsätt läsa →