Wawa-Daten verstoßen gegen die Kartendaten von über 300 Millionen Kartenpersonen

Am 19. Dezember 2019 kündigte Wawa, ein Unternehmen an der Ostküste der USA, einen Verstoß gegen die Datenschutzbestimmungen in seinem riesigen Einzelhandelsgeschäft an. Das Unternehmen war der Ansicht, dass die Sicherheitslücke auf eine Infektion mit POS-Malware zurückzuführen war. Dies ist die gleiche Malware, die Visa veranlasste, Tankstellen in ganz Nordamerika und die angeschlossenen Pumpen und Geräte zu warnen, die das Ziel von Cyberkriminellen sind.

POS-Malware wurde speziell entwickelt, um Kredit- und Debitkartendaten von POS-Geräten zu stehlen und Kartenzahlungen zu verarbeiten. Sie verschlüsselt die Daten der Karte auf den Zahlungsgeräten, bevor sie zur Genehmigung an das Bankennetz gesendet wird. Die Verschlüsselung erfolgt im RAM des Geräts, sodass die Malware die Hardware verschrotten und die Kartendetails stehlen kann. Der Befehls- und Steuerungsserver der Hackerkontrolle stellt dann eine Verbindung zum Gerät her und empfängt die Informationen.

Zurück zum Wawa-Vorfall: Die am 4. März im Netzwerk installierte Malware wurde am 10. Dezember entdeckt und innerhalb von zwei Tagen danach entfernt. In der Pressemitteilung erklärte das Unternehmen,

„Aufgrund unserer bisherigen Untersuchungen haben wir festgestellt, dass [die] Malware zu verschiedenen Zeitpunkten nach dem 4. März 2019 auf Zahlungsverarbeitungssystemen im Geschäft an potenziell allen Wawa-Standorten ausgeführt wurde. Obwohl die Daten variieren können und einige Wawa-Standorte Möglicherweise war diese Malware auf den meisten Speichersystemen bis zum 22. April 2019 nicht vorhanden. “

Das Unternehmen behauptete außerdem, die Malware habe keine PIN-Nummern der Debitkarte, CVV2-Nummern der Kreditkarte und Führerscheininformationen gesammelt, die zur Überprüfung von Einkäufen mit Altersbeschränkung verwendet werden. Die Malware wurde nur zum Sammeln von Zahlungsdaten konfiguriert, die über die POS-Systeme in den Filialen übertragen wurden, z. B. Kredit- und Debitkartennummern, Ablaufdaten und Namen der Karteninhaber.

Kartendetails online veröffentlicht

Am 27. Januar dieses Jahres stellten die unbekannten Hacker über 30 Millionen Kartendetails von Kartenpersonen in Joker’s Stash, einem Forum für Kartenbetrug, bereit. Von BiGBADABOON – !!! Name, die Kartendetails wurden angekündigt und verkaufen sich zu 17 USD pro Karte.

Gemini Advisory veröffentlichte später einen Artikel zu diesem Kartendump und stellte fest, dass:

“Die Wawa-Sicherheitsverletzung entspricht der Taktik von Joker’s Stash, Aufzeichnungen, die großen Händlern gestohlen wurden, bei öffentlich gemeldeten schwerwiegenden Sicherheitsverletzungen erst nach Bekanntgabe der Sicherheitsverletzung hinzuzufügen. Basierend auf Geminis Analyse bestand der anfängliche Satz von Basen, die mit „BIGBADABOOM-III“ verknüpft waren, aus fast 100.000 Datensätzen. Während die meisten dieser Aufzeichnungen von US-Banken stammten und mit Karteninhabern in den USA in Verbindung standen, betrafen einige Aufzeichnungen auch Karteninhaber aus Lateinamerika, Europa und mehreren asiatischen Ländern. Karteninhaber, die nicht in den USA ansässig sind, sind wahrscheinlich Opfer dieser Verletzung geworden, als sie in die USA gereist sind und während der Expositionszeit mit Wawa-Tankstellen Geschäfte getätigt haben. “

Er schloss:

„Insbesondere bei größeren Verstößen dieser Art ist die Nachfrage im dunklen Netz häufig gering. Dies kann daran liegen, dass der Händler gegen seine öffentlichen Äußerungen verstoßen hat oder Sicherheitsforscher den Kompromisspunkt schnell identifiziert haben. JokerStash nutzt jedoch die Medienberichterstattung über schwerwiegende Verstöße wie diese, um die Glaubwürdigkeit seines Shops und seine Position als bekanntester Anbieter von manipulierten Zahlungskarten zu stärken. “

Einen Tag danach veröffentlichte Wawa eine Pressemitteilung, in der Kunden aufgefordert wurden, wachsam zu bleiben, die Finanzinstitute über betrügerische oder verdächtige Transaktionen zu informieren und sie daran zu erinnern, dass Kunden, die dies glauben, eine kostenlose Kreditüberwachung und einen Diebstahlschutz erhalten Sie sind möglicherweise von dem Verstoß betroffen.