Konsekvensene av Wawa Data Breach i 2019: private data på millioner selges på den mørke nettet
Forrige uke la forskere fra trusselinformasjonsselskapet Gemini Advisory merke til at det kom et nytt tilbud på Joker's Stash, en av Dark Webs mest populære markedsplasser for stjålne kredittkortdetaljer. Det ble lagt ut av nettstedets moderator (etter det ganske fantasiløse kallenavnet til JokerStash), og det fikk navnet BIGBADABOOM-III. Gemini sine forskere bestemte seg for å se nærmere på hva nettkriminelle hadde å tilby.
27. januar lastet JokerStash opp de fire første databasene. I annonsen heter det at hele samlingen består av mer enn 30 millioner plater, men den siste ukens sats har bare 100 tusen. Forskerne fant ganske mange forfalskede geolokasjonsdata inne i databasene, men de så også rikelig med ekte informasjon, og det tok dem ikke lang tid å innse hvor den hadde kommet fra.
Cyberkriminelle prøver å tjene penger på desember Wawa-datainnbrudd
I desember kunngjorde nærbutikken og bensinstasjonskjeden Wawa at betalingssystemet hadde blitt infisert med Point-of-Sale (PoS) malware. Funnet ble gjort 10. desember, og innen 48 timer ble skadelig programvare fjernet. Ytterligere undersøkelser avdekket imidlertid at det innledende kompromisset skjedde ni måneder tidligere, 4. mars.
Den gangen var Chris Gheysens, administrerende direktør i Wawa, ikke helt sikker på hva omfanget av bruddet var, men han la merke til at mellom den innledende infeksjonen og 22. april klarte malware å kompromittere betalingssystemene på "det meste" av Wawas steder. Angivelig reduserte angrepets intensitet etter det, men varselet om brudd på dataene innebar at skadelig programvare fortsatte å være aktivt i noen butikker inntil det var fullstendig inneholdt 12. desember.
Det eksakte navnet på skadelig programvare er fortsatt ukjent for nå, men vi vet at det handlet ganske mye som alle andre trusler av denne typen. Når betalingssystemet i en butikk er infisert, er skadelig programvare designet for å kopiere alle dataene som er lagret på de magnetiske stripene med kreditt- og debetkort når de blir sveipt ved PoS-terminaler. Disse dataene inkluderer kortets nummer, navnet på kortholderen og utløpsdatoen. Som Chris Gheysens påpekte i innkallingen, kan ikke PoS-skadelig programvare stjele PIN- og CVV-koder.
Hvis det JokerStash sier er sant, resulterte angrepet på Wawa i kompromisset med 30 millioner kort, noe som vil bety at dette er et av historiens største brudd av denne typen. Sammenlign med det faktum at medianprisen på amerikansk-utstedte kort i følge Gemini svinger rundt $ 17 per pop mens ikke-amerikanske poster detaljhandel for rundt $ 210, og du vil se hvor mye penger hackerne står for å tjene, i det minste i teorien.
Fra skurkenes perspektiv høres det hele ut for godt til å være sant
Gemini’s eksperter bemerket i sin rapport at JokerStash er glad for at vi vet hvor dataene kommer fra. Tilsynelatende prøver markedets administrator ofte å øke sin troverdighet ved å tilby kredittkort stjålet under brudd som allerede er blitt offentliggjort. Dette kan også være gode nyheter for de som fikk bankkortet deres kompromittert.
At bruddet allerede har fått nyhetene, betyr at det er større sannsynlighet for at folk allerede har tatt noen skritt for å beskytte seg selv. Da Wawa snakket om hendelsen for første gang, tilbød den gratis identitetstyveri og kredittovervåkningstjenester i ett år til alle involverte, og vi er sikre på at i det minste noen av ofrene har benyttet seg av dette. Bensinstasjonskjeden lovet også å samarbeide med folk som har sett uredelige betalinger på kredittkortene sine på grunn av bruddet, men som ikke har fått noen refusjon.
Med andre ord, ofre for Wawa-bruddet burde være bedre forberedt på å møte risikoen, og dette betyr at datadumpen JokerStash prøver å skyve ikke er så tiltalende som den ser ut til å begynne med.
