Wawas massiver Kartenverstoß: 30 Millionen Kundendaten werden online verkauft

Am Montag haben Hacker die Zahlungskartendaten von mehr als 30 Millionen Amerikanern und über einer Million Ausländern auf Joker's Stash, dem größten Forum für Kartenbetrug im Internet, zum Verkauf angeboten.

Dieser neue „Kartendump“ wurde unter dem Namen BIGBADABOOM-III beworben; Laut Experten des Threat-Intelligence-Unternehmens Gemini Advisory wurden die Kartendaten jedoch auf Wawa zurückgeführt, eine Supermarktkette an der US-Ostküste.

Einen Monat zuvor, im Dezember 2019, Wawa hat eine schwerwiegende Sicherheitslücke offengelegt Dabei gab das Unternehmen zu, dass Hacker Malware in seine Kassensysteme eingeschleust haben. Wawa sagte, die Malware habe Kartendaten aller Kunden gesammelt, die Kredit- oder Debitkarten zum Kauf von Waren in ihren Convenience-Stores und Tankstellen verwendet hätten. Das Unternehmen sagte, der Verstoß betreffe alle seine 860 Convenience-Einzelhandelsgeschäfte, von denen 600 auch als Tankstellen dienten.

Laut Wawa operierte die Malware monatelang, ohne entdeckt zu werden, vom 4. März bis Dezember. 12, als es aus den Systemen des Unternehmens entfernt wurde.

Einer der größten bisher bekannten Kartenverstöße

Diese verlängerte Infektionsperiode, zusammen mit einer massiven Beeinträchtigung Hunderter verschiedener Standorte, scheint es der kriminellen Gruppe hinter diesem Hack ermöglicht zu haben, einen riesigen Schatz an Zahlungskarten anzuhäufen Einzelheiten.

„Da der Verstoß möglicherweise über 850 Geschäfte betroffen und möglicherweise 30 Millionen Zahlungsaufzeichnungen offengelegt hat, zählt er zu den „Die größten Verstöße gegen Zahlungskarten im Jahr 2019 und aller Zeiten“, sagte Gemini Advisory heute, als er das Ausmaß des Wawa-Verstoßes beschrieb.

„Es ist vergleichbar mit dem Verstoß von Home Depot im Jahr 2014, bei dem 50 Millionen Kundendaten offengelegt wurden, oder mit dem Verstoß von Target im Jahr 2013, bei dem 40 Millionen Sätze von Zahlungskartendaten offengelegt wurden“, sagten sie.

Kartendetails sind für etwa 17 $ pro Karte erhältlich

Gemini Advisory sagte, dass nach der Analyse der Daten der Wawa-Karten-Dump offenbar „30 Millionen US-Dollar“ umfasst Aufzeichnungen aus mehr als 40 Bundesstaaten sowie über eine Million Nicht-US-Aufzeichnungen aus mehr als 100 verschiedenen Bundesstaaten Länder."

In einem Pressemitteilung Wie Wawa heute veröffentlichte, nachdem Gemini Advisory seinen Bericht veröffentlicht hatte, sagte er, man sei sich bewusst geworden, dass Kundenkartendaten nun online zum Verkauf angeboten würden. Das Unternehmen bestritt auch nicht die Richtigkeit der Angaben Gemini Advisory-Bericht, was effektiv bestätigt, dass der Karten-Dump dieser Woche von Joker's Stash aus seinen Systemen stammt.

„Wir haben unsere Zahlungskartenabwickler, Zahlungskartenmarken und Kartenherausgeber alarmiert, um die Betrugsüberwachungsaktivitäten zu verstärken, um zu helfen.“ „Schützen Sie alle Kundeninformationen weiter“, sagte Wawa und fügte hinzu, dass es weiterhin mit den Strafverfolgungsbehörden zusammenarbeiten werde, um dies zu untersuchen hacken.

Die Handelskette sagte außerdem, „dass es sich nur um Zahlungskarteninformationen handelte und dass es sich nicht um Debitkarten-PIN-Nummern, Kreditkarten-CVV2-Nummern oder andere persönliche Informationen handelte.“

Laut einer Stichprobe des Wawa-Karten-Dumps, die von erhalten wurde ZDNet, der Kartendump enthielt trotz Wawas Behauptungen CVV2-Nummern.

Gemini-Experten sagten, dass das Joker's Stash-Team derzeit die Daten von in den USA ausgestellten Karten für durchschnittlich 17 US-Dollar pro Karte verkauft, während Daten für internationale Karten einen höheren Preis von 210 US-Dollar pro Karte haben.

„Der Wawa-Verstoß steht im Einklang mit der Taktik von Joker's Stash, Datensätze hinzuzufügen, die von großen Händlern gestohlen wurden größere Verstöße erst öffentlich bekannt geben, nachdem der Verstoß bekannt gegeben wurde“, sagte das Gemini Advisory-Team.

„Joker's Stash nutzt die Medienberichterstattung über schwerwiegende Verstöße wie diese, um die Glaubwürdigkeit ihres Shops und ihre Position als berüchtigtster Anbieter kompromittierter Zahlungskarten zu stärken.“