Die Folgen des Wawa-Datenbruchs im Jahr 2019: Private Daten von Millionen werden im Dark Web verkauft

Wawa Data Breach Private Data Sold

In der vergangenen Woche stellten Forscher des Bedrohungsnachrichtendienstes Gemini Advisory fest, dass es ein neues Angebot für Joker's Stash gibt, einen der beliebtesten Marktplätze für gestohlene Kreditkartendaten im Dark Web. Es wurde vom Moderator der Site veröffentlicht (unter dem einfallslosen Spitznamen JokerStash) und heißt BIGBADABOOM-III. Die Forscher von Gemini beschlossen, sich die Angebote der Cyberkriminellen genauer anzuschauen.

Am 27. Januar hat JokerStash die ersten vier Datenbanken hochgeladen. Die Anzeige gibt an, dass die gesamte Sammlung mehr als 30 Millionen Datensätze umfasst, der Stapel der letzten Woche jedoch nur 100.000 Datensätze enthält. Die Forscher fanden eine Menge gefälschter Geolokalisierungsdaten in den Datenbanken, sahen aber auch viele echte Informationen, und es dauerte nicht lange, bis sie erkannten, woher diese stammten.

Cyberkriminelle versuchen, den Wawa-Datenverstoß im Dezember zu monetarisieren

Im Dezember gab der Supermarkt und die Tankstellenkette Wawa bekannt, dass sein Zahlungssystem mit Point-of-Sale-Malware (PoS) infiziert wurde. Die Entdeckung wurde am 10. Dezember gemacht und innerhalb von 48 Stunden wurde die Malware entfernt. Weitere Untersuchungen ergaben jedoch, dass der erste Kompromiss neun Monate zuvor, am 4. März, zustande gekommen war.

Zu diesem Zeitpunkt war sich Chris Gheysens, CEO von Wawa, nicht ganz sicher, inwieweit die Sicherheitsverletzung bestand. Er stellte jedoch fest, dass die Malware zwischen der Erstinfektion und dem 22. April "die meisten" Zahlungssysteme von Wawa gefährdet hat Standorte. Anscheinend nahm die Intensität des Angriffs danach ab, aber der Hinweis auf Datenschutzverletzungen deutete darauf hin, dass die Malware in einigen Geschäften weiterhin aktiv war, bis sie am 12. Dezember vollständig eingedämmt war.

Der genaue Name der Malware ist vorerst nicht bekannt, aber wir wissen, dass sie sich wie jede andere Bedrohung dieser Art verhält. Sobald das Zahlungssystem eines Geschäfts infiziert ist, kopiert die Malware alle Daten, die auf den Magnetstreifen von Kredit- und Debitkarten gespeichert sind, wenn diese an POS-Terminals geklaut werden. Diese Daten umfassen die Kartennummer, den Namen des Karteninhabers und das Ablaufdatum. Wie Chris Gheysens in der Mitteilung betonte, kann PoS-Malware keine PIN- und CVV-Codes stehlen.

Wenn das, was JokerStash sagt, wahr ist, führte der Angriff auf Wawa zu einem Kompromiss von 30 Millionen Karten, was bedeuten würde, dass dies einer der größten Verstöße dieser Art in der Geschichte ist. Kombiniert mit der Tatsache, dass Gemini zufolge der Durchschnittspreis für in den USA ausgestellte Karten bei 17 USD pro Pop liegt, während nicht in den USA ausgestellte Karten für 210 USD im Einzelhandel erhältlich sind, und Sie zumindest sehen werden, wie viel Geld die Hacker verdienen können in der Theorie.

Aus der Sicht der Gauner klingt das Ganze zu gut, um wahr zu sein

Die Experten von Gemini haben in ihrem Bericht festgestellt, dass JokerStash froh ist, dass wir wissen, woher die Daten stammen. Offensichtlich versucht der Administrator des Marktplatzes häufig, seine Glaubwürdigkeit zu steigern, indem er Kreditkarten anbietet, die bei bereits veröffentlichten Verstößen gestohlen wurden. Dies könnte jedoch auch eine gute Nachricht für diejenigen sein, deren Bankkarten kompromittiert wurden.

Die Tatsache, dass der Verstoß bereits die Nachricht verbreitet hat, bedeutet, dass die Menschen mit größerer Wahrscheinlichkeit bereits einige Schritte unternommen haben, um sich selbst zu schützen. Als Wawa zum ersten Mal über den Vorfall sprach, bot es beispielsweise allen Beteiligten für ein Jahr kostenlose Dienste für Identitätsdiebstahl und Kreditüberwachung an, und wir sind sicher, dass zumindest einige der Opfer dies ausgenutzt haben. Die Tankstellenkette versprach auch, mit Menschen zusammenzuarbeiten, die aufgrund des Verstoßes betrügerische Zahlungen auf ihrer Kreditkarte gesehen, aber keine Rückerstattung erhalten haben.

Mit anderen Worten, die Opfer der Wawa-Verletzung sollten besser auf die Risiken vorbereitet sein, und dies bedeutet, dass der Datendump, den JokerStash zu pushen versucht, nicht so attraktiv ist, wie es zunächst scheint.

February 6, 2020

Antworten