Es posible que Wawa Breach haya comprometido más de 30 millones de tarjetas de pago – Krebs on Protection


A fines de diciembre de 2019, la cadena de tiendas de combustible y conveniencia Wawa Inc. dijo que una violación de nueve meses de sus sistemas de procesamiento de tarjetas de pago puede haber llevado al robo de datos de tarjetas de clientes que visitaron cualquiera de sus 850 ubicaciones en todo el país. Ahora, los expertos en fraude dicen que el primer lote de datos de tarjetas robado a los clientes de Wawa se vende en una de las tiendas criminales más populares de la clandestinidad, que afirma tener 30 millones de registros para vender una nueva violación a nivel nacional.

En la tarde del lunes 27 de enero, un well-liked bazar de fraudes conocido como Joker&#39s Stash comenzó a vender datos de tarjetas de «una nueva gran violación a nivel nacional» que supuestamente incluye más de 30 millones de cuentas de tarjetas emitidas por miles de instituciones financieras en más de 40 estados de EE. UU. .

El lunes, el alijo de Joker en el bazar de fraudes comenzó a vender unas 30 millones de cuentas de tarjetas de pago robadas que, según los expertos, han sido vinculadas a una violación en Wawa en 2019.

Dos fuentes que trabajan en estrecha colaboración con las instituciones financieras de todo el país le dicen a KrebsOnSecurity el nuevo lote de tarjetas que salió a la venta el lunes por la noche, denominado «BIGBADABOOM-III» por Joker’s Stash, mapa directo a las compras de los titulares de tarjetas en Wawa.

El 19 de diciembre de 2019, Wawa envió un aviso a los clientes diciendo que la compañía había descubierto malware para robar tarjetas instalado en sistemas de procesamiento de pagos en tiendas y dispensadores de combustible en potencialmente todas las ubicaciones de Wawa.

Wawa, con sede en Pensilvania, dice que descubrió la intrusión el 10 de diciembre y contuvo la violación antes del 12 de diciembre, pero que se creía que el malware se había instalado más de nueve meses antes, alrededor del 4 de marzo. La información expuesta incluye tarjeta de débito y crédito números, fechas de vencimiento y nombres de titulares de tarjetas. Wawa dijo que la violación no expuso los números de identificación personalized (PIN) o los registros CVV (el código de seguridad de tres dígitos impreso en el reverso de una tarjeta de pago).

Un portavoz de Wawa confirmó que la compañía se enteró hoy de los informes de intentos criminales de vender parte de la información de la tarjeta de pago del cliente potencialmente involucrada en el incidente de seguridad de datos anunciado por Wawa el 19 de diciembre de 2019.

«Hemos alertado a nuestro procesador de tarjetas de pago, marcas de tarjetas de pago y emisores de tarjetas para aumentar las actividades de monitoreo de fraude para ayudar a proteger aún más la información de los clientes», dijo Wawa en un comunicado publicado a KrebsOnSecurity. «Continuamos trabajando en estrecha colaboración con la policía federal en relación con su investigación en curso para determinar el alcance de la divulgación de los datos de la tarjeta de pago de clientes específicos de Wawa».

«Continuamos alentando a nuestros clientes a que se mantengan atentos al revisar los cargos en los estados de cuenta de su tarjeta de pago y a informar de inmediato cualquier uso no autorizado al banco o institución financiera que emitió su tarjeta de pago llamando al número que figura en el reverso de la tarjeta». continúa “Según la ley federal y las reglas de la compañía de tarjetas, los clientes que notifiquen al emisor de la tarjeta de pago de manera oportuna sobre los cargos fraudulentos no serán responsables de esos cargos. En el unbelievable caso de que no se reembolse a ningún cliente specific que haya notificado de inmediato a su emisor de la tarjeta los cargos fraudulentos relacionados con este incidente, Wawa trabajará con ellos para reembolsarles dichos cargos «.

Gemini Advisory, una compañía de inteligencia de fraude con sede en Nueva York, dijo que las mayores concentraciones de tarjetas robadas para la venta en el mapa por lotes BIGBADABOOM-III se remontan al uso de tarjetas de clientes de Wawa en Florida y Pensilvania, los dos estados más poblados donde opera Wawa. Wawa también tiene ubicaciones en Delaware, Maryland, Virginia y el Distrito de Columbia.

Según Gemini, el alijo de Joker hasta ahora ha lanzado solo una pequeña porción de los 30 millones reclamados. Sin embargo, esta no es una práctica poco común: liberar demasiadas tarjetas robadas para la venta a la vez tiende a deprimir el precio typical de las tarjetas robadas en el mercado subterráneo.

«Según el análisis de Gemini, el conjunto inicial de bases vinculadas a» BIGBADABOOM-III «consistió en casi 100,000 registros», Gemini observado. “Si bien la mayoría de esos registros eran de bancos estadounidenses y estaban vinculados a titulares de tarjetas con sede en Estados Unidos, algunos registros también estaban vinculados a titulares de tarjetas de América Latina, Europa y varios países asiáticos. Los titulares de tarjetas que no residen en Estados Unidos probablemente fueron víctimas de esta violación cuando viajaban a los Estados Unidos y utilizaban estaciones de servicio Wawa durante el período de exposición ”.

Director de investigación de Gemini Stas Alforov destacó que algunas de las 30 millones de tarjetas que se anuncian para la venta como parte de este lote BIGBADABOOM pueden en realidad provenir de infracciones en otros minoristas, algo que se sabe que Joker’s Stash hizo en lotes grandes anteriores.

Gemini supervisa múltiples sitios de tarjetas como Joker’s Stash. La compañía descubrió que el precio promedio de los registros emitidos en los EE. UU. En el nuevo lote de Joker&#39s Stash es actualmente de $ 17, con algunos de los registros internacionales a un precio tan alto como $ 210 por tarjeta.

«Además de los bancos con presencia en todo el país, solo las instituciones financieras a lo largo de la costa este tuvieron una exposición significativa», concluyó Gemini.

Representantes de tarjeta MasterCard no respondió a las solicitudes de comentarios. Visa declinó hacer comentarios para esta historia, pero señaló una serie de alertas que emitió en noviembre y diciembre 2019 sobre grupos de ciberdelincuencia cada vez más dirigidos a comerciantes de dispensadores de flamable.

Una serie de recientes infracciones de tarjetas de alto perfil a nivel nacional en los principales comerciantes de la calle se han relacionado con un gran número de tarjetas para la venta en Joker&#39s Stash, incluidas las infracciones en la cadena de supermercados Hy-Vee, las cadenas de restaurantes Sonic, Buca di Beppo, Krystal, Moe&#39s, McAlister&#39s Deli y Schlotzsky&#39s, minoristas como Bebe Retailers y marcas de hostelería como Hilton Accommodations.

La mayoría de las infracciones de tarjetas en restaurantes y otras tiendas físicas ocurren cuando los ciberdelincuentes logran instalar de forma remota program malicioso en los sistemas de procesamiento de tarjetas del minorista. Este tipo de malware de punto de venta es capaz de copiar datos almacenados en la banda magnética de una tarjeta de crédito o débito cuando esas tarjetas se deslizan en terminales de pago comprometidas, y esos datos se pueden usar para crear copias falsificadas de las tarjetas.

Estados Unidos es el último de los países del G20 en hacer el cambio a tarjetas basadas en chips más seguras, que son mucho más caras y difíciles de falsificar para los delincuentes. Desafortunadamente, muchos comerciantes aún no han cambiado a usar lectores de tarjetas basados ​​en chips y todavía deslizan las tarjetas de sus clientes.

De acuerdo a estadísticas lanzadas en noviembre por Visa, más de 3.7 millones de establecimientos comerciales ahora aceptan tarjetas con chip. Visa dice que para los comerciantes que han completado la actualización del chip, los dólares de fraude falsificados cayeron un 81 por ciento en junio de 2019 en comparación con septiembre de 2015. Esto puede ayudar a explicar por qué los ladrones de tarjetas están cambiando su atención cada vez más a los comerciantes de comercio electrónico comprometedores, una tendencia que se observa en casi todos país que ya hizo el cambio a tarjetas basadas en chips.

Muchas estaciones de servicio están actualizando sus bombas para incluir más seguridad física y cibernética, como el cifrado de extremo a extremo de los datos de la tarjeta, las cerraduras personalizadas y las cámaras de seguridad. Además, las bombas más nuevas pueden acomodar tarjetas de pago basadas en chips más seguras que ya están en uso y, en algunos casos, obligatorias por otros países del G20.

Pero estas actualizaciones son perjudiciales y costosas, y muchos propietarios de estaciones de combustible las posponen hasta que sea absolutamente necesario. Antes de finales de 2016, los propietarios de estaciones de combustible en los Estados Unidos tenían hasta el 1 de octubre de 2017 para instalar lectores con capacidad de chip en sus bombas. Los propietarios de estaciones que no tenían lectores listos para el chip en ese momento habrían sido ahorcados para absorber el 100 por ciento de los costos del fraude asociados con las transacciones en las que el cliente presentó una tarjeta basada en el chip que aún no se le pidió o no pudo sumerja el chip (actualmente, los bancos emisores de tarjetas y los consumidores se hacen cargo de la mayor parte de los costos de fraude del descremado de flamable).

Sin embargo, en diciembre de 2016, Visa, con mucho la pink de tarjetas de crédito más grande de los Estados Unidos, retrasó los requisitos y dijo que los propietarios de estaciones de combustible recibirían hasta el 1 de octubre de 2020 para cumplir con la fecha límite de cambio de responsabilidad.

De cualquier manera, Wawa podría enfrentar fuertes multas por no proteger los datos de la tarjeta del cliente que atraviesan sus redes internas de tarjetas de pago. Además, al menos una demanda colectiva Ya se ha presentado contra la empresa.

Finalmente, es importante tener en cuenta que incluso si los 30 millones de las cartas que Joker&#39s Stash está vendiendo como parte de este lote de hecho se asignan a ubicaciones de Wawa, es muy poco possible que se compre más de un pequeño porcentaje de estas cartas y utilizado por estafadores. En el megabreach 2013 en Goal Corp.Por ejemplo, los estafadores robaron aproximadamente 40 millones de tarjetas, pero solo terminaron vendiendo entre uno y tres millones de esas tarjetas.


Etiquetas: incumplimiento de tiendas bebe, incumplimiento de Buca di Beppo, aviso de Gemini, incumplimiento de hoteles Hilton, escondite de Joker, incumplimiento de Krystal, mastercard, incumplimiento de McAlister&#39s Deli, incumplimiento de Moe, incumplimiento de Scholtzsky, incumplimiento de Sonic, Visa, incumplimiento de Wawa

Esta entrada fue publicada el martes 28 de enero de 2020 a las 3:12 pm y está archivada en Info Breaches, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic