Les données de Wawa ont violé plus de 300 millions de cartes bancaires

Le 19 décembre 2019, Wawa, une entreprise de la côte est des États-Unis, a annoncé une violation de données dans sa boutique géante de vente au détail. La société pensait que la violation était due à une infection par un logiciel malveillant de point de vente. C’est le même malware qui a conduit Visa à avertir les stations-service à travers l’Amérique du Nord et les pompes et appareils connectés étant la cible d’organisations cybercriminelles.

Les logiciels malveillants de point de vente sont spécialement conçus pour voler les détails des cartes de crédit et de débit des appareils de point de vente pour traiter les paiements par carte. Il crypte les données de la carte sur les appareils de paiement avant de les envoyer pour approbation au réseau bancaire. Le cryptage se produit à l’intérieur de la RAM de l’appareil, ce qui permet au malware de supprimer le matériel et de voler les détails de la carte. Le serveur de commande et de contrôle du contrôle des pirates se connecte ensuite à l’appareil et reçoit les informations.

Pour en revenir à l’incident de Wawa, ce malware installé sur le réseau le 4 mars a été découvert le 10 décembre et dans les 2 jours qui ont suivi, il a été supprimé par la suite. Dans le communiqué de presse, la société a déclaré:

«Sur la base de notre enquête à ce jour, nous comprenons qu’à différents moments après le 4 mars 2019, [le] malware a commencé à s’exécuter sur des systèmes de traitement des paiements en magasin dans potentiellement tous les sites de Wawa… Bien que les dates puissent varier et certains sites de Wawa n’a peut-être pas été affecté du tout, ce malware était présent sur la plupart des systèmes de magasins vers le 22 avril 2019 »

En outre, selon la société, le logiciel malveillant n’a pas collecté les numéros PIN des cartes de débit, les numéros CVV2 des cartes de crédit et les informations de permis de conduire utilisées pour vérifier les achats soumis à une limite d’âge. Le logiciel malveillant a été configuré uniquement pour collecter les données de paiement transmises via ses systèmes de point de vente en magasin, tels que les numéros de carte de crédit et de débit, les dates d’expiration et les noms des titulaires de carte,

Détails de la carte publiés en ligne

Le 27 janvier de cette année, les pirates inconnus ont mis plus de 30 millions de détails sur les cartes individuelles sur Joker’s Stash, un forum sur la fraude par carte. Par BiGBADABOON – !!! Nom, les détails de la carte ont été annoncés et se vendent à 17 USD par carte.

Gemini Advisory a publié un article sur ce vidage de carte par la suite, a noté que:

“La violation de Wawa est conforme à la tactique de Joker’s Stash consistant à ajouter des enregistrements volés à de grands commerçants dans des violations majeures divulguées publiquement uniquement après l’annonce de la violation. Sur la base de l’analyse de Gemini, l’ensemble initial de bases liées à «BIGBADABOOM-III» comprenait près de 100 000 enregistrements. Alors que la majorité de ces enregistrements provenaient de banques américaines et étaient liés à des titulaires de carte basés aux États-Unis, certains enregistrements étaient également liés à des titulaires de carte d’Amérique latine, d’Europe et de plusieurs pays asiatiques. Les titulaires de carte non basés aux États-Unis ont probablement été victimes de cette violation lorsqu’ils se sont rendus aux États-Unis et ont effectué des transactions avec des stations-service de Wawa pendant la période d’exposition. »

Il a conclu:

«Notamment, les violations majeures de ce type ont souvent une faible demande sur le dark web. Cela peut être dû à la déclaration publique du commerçant violé ou à l’identification rapide par les chercheurs en sécurité du point de compromis. Cependant, JokerStash utilise la couverture médiatique de violations majeures comme celles-ci pour renforcer la crédibilité de leur boutique et leur position en tant que fournisseur le plus notoire de cartes de paiement compromises. »

Un jour après cela, Wawa a publié un communiqué de presse pour conseiller aux clients de rester vigilants et informer les institutions financières de toute transaction frauduleuse ou suspecte et également pour leur rappeler qu’il offrira une surveillance gratuite du crédit et une protection contre le vol d’identité aux clients qui estiment que ils peuvent avoir été affectés par la violation.