2019 m. „Wawa“ duomenų pažeidimo pasekmės: „Dark Web“ parduodami milijonai privačių duomenų

Praėjusią savaitę grėsmės žvalgybos firmos „Gemini Advisory“ tyrėjai pastebėjo, kad „Joker's Stash“ - vienoje populiariausių „Dark Web“ populiariausių prekyviečių pavogtų kreditinių kortelių duomenų - buvo pateiktas naujas pasiūlymas. Jį paskelbė svetainės moderatorius (eidamas gana neįsivaizduojamu JokerStash slapyvardžiu), ir jis buvo pavadintas BIGBADABOOM-III. Dvynių tyrėjai nusprendė atidžiau pažvelgti į tai, ką turėjo pasiūlyti kibernetiniai nusikaltėliai.

Sausio 27 d. „JokerStash“ įkėlė pirmąsias keturias duomenų bazes. Skelbime teigiama, kad visą kolekciją sudaro daugiau nei 30 milijonų įrašų, tačiau praėjusios savaitės serijoje yra vos 100 tūkst. Tyrėjai duomenų bazėse rado gana daug suklastotų geografinės padėties duomenų, tačiau jie taip pat pamatė daugybę tikros informacijos ir jiems ilgai neužtruko suvokti, iš kur ji atsirado.

Kibernetiniai nusikaltėliai bando užsidirbti už gruodžio mėnesio „Wawa“ duomenų pažeidimą

Gruodžio mėnesį parduotuvių tinklas ir degalinių tinklas „Wawa“ paskelbė, kad jo mokėjimo sistema buvo užkrėsta kenkėjiška programine įranga „Point-of-Sale“. Šis atradimas buvo padarytas gruodžio 10 d., O per 48 valandas kenkėjiška programa buvo pašalinta. Tolesnis tyrimas vis dėlto atskleidė, kad pirminis kompromisas įvyko devyniais mėnesiais anksčiau, kovo 4 d.

Tuo metu Chrisas Gheysensas, „Wawa“ generalinis direktorius, nebuvo visiškai tikras, kokia buvo pažeidimo apimtis, tačiau jis vis dėlto pažymėjo, kad nuo pirminės užkrėtimo iki balandžio 22 d. Kenkėjiška programa sugebėjo sugadinti mokėjimo sistemas „daugiausiai“ Wawa vietos. Matyt, išpuolio intensyvumas po to sumažėjo, tačiau pranešimas apie duomenų pažeidimą iš tikrųjų reiškė, kad kenkėjiška programinė įranga vis dar buvo aktyvi kai kuriose parduotuvėse, kol ji buvo visiškai sulaikyta gruodžio 12 d.

Tikslus kenkėjiškos programos pavadinimas kol kas nežinomas, tačiau mes žinome, kad ji veikė beveik kaip ir visos šios rūšies grėsmės. Kai parduotuvės mokėjimo sistema yra užkrėsta, kenkėjiška programa yra skirta nukopijuoti visus duomenis, kurie yra saugomi ant kredito ir debeto kortelių magnetinių juostelių, kai jie perbraukiami „PoS“ terminaluose. Šiuos duomenis sudaro kortelės numeris, kortelės turėtojo vardas ir galiojimo data. Kaip pranešime pažymėjo Chrisas Gheysensas, „PoS“ kenkėjiška programinė įranga negali pavogti PIN ir CVV kodų.

Jei tai, ką sako „JokerStash“, yra tiesa, Wawa išpuolis baigėsi 30 milijonų kortelių kompromisu, o tai reikštų, kad tai yra vienas didžiausių tokio pobūdžio istorijos pažeidimų. Prisiminkime tai, kad, pasak „Dvynių“, JAV išduodamų kortelių vidutinė kaina svyruoja apie 17 USD, o ne JAV įrašų mažmeninė prekyba siekia apie 210 USD, ir pamatysite, kiek pinigų uždirba įsilaužėliai, bent jau teoriškai.

Iš sukčių perspektyvos visa tai skamba per gerai, kad būtų tiesa

„Dvynių“ ekspertai savo ataskaitoje pažymėjo, kad „JokerStash“ džiaugiasi, kad žinome, iš kur gauti duomenys. Matyt, rinkos administratorius dažnai bando padidinti jų patikimumą siūlydamas kreditines korteles, pavogtas per pažeidimus, kurie jau buvo paskelbti viešai. Tai taip pat gali būti gera žinia tiems, kuriems nepavyko sugadinti savo banko kortelių.

Tai, kad pažeidimas jau paskelbė naujienas, reiškia, kad žmonės yra labiau linkę jau imtis tam tikrų veiksmų, kad apsisaugotų. Pavyzdžiui, kai Wawa pirmą kartą kalbėjo apie šį įvykį, ji visiems dalyviams pasiūlė nemokamas tapatybės vagystės ir kreditų stebėjimo paslaugas vieneriems metams. Esame tikri, kad bent kelios aukos tuo pasinaudojo. Degalinių tinklas taip pat pažadėjo dirbti su žmonėmis, kurie dėl pažeidimo matė apgaulingus mokėjimus savo kreditinėse kortelėse, tačiau negavo grąžinamųjų išmokų.

Kitaip tariant, „Wawa“ pažeidimo aukos turėtų būti geriau pasirengusios susidurti su rizika, o tai reiškia, kad duomenų kaupiklis, kurį „JokerStash“ bando pateikti, nėra toks patrauklus, kaip atrodo iš pradžių.