De gevolgen van de Wawa-datalek 2019: privégegevens van miljoenen worden verkocht op het Dark Web

Vorige week merkten onderzoekers van bedreigingsinformatiebureau Gemini Advisory op dat er een nieuw aanbod was op Joker's Stash, een van de populairste marktplaatsen van Dark Web voor gestolen creditcardgegevens. Het werd gepost door de moderator van de site (volgens de nogal fantasierijke bijnaam van JokerStash), en het kreeg de naam BIGBADABOOM-III. De onderzoekers van Gemini besloten om nader in te gaan op wat de cybercriminelen te bieden hadden.

Op 27 januari heeft JokerStash de eerste vier databases geüpload. In de advertentie staat dat de hele verzameling uit meer dan 30 miljoen records bestaat, maar de batch van de afgelopen week bevat slechts 100 duizend. De onderzoekers vonden nogal wat vervalste geolocatiegegevens in de databases, maar ze zagen ook veel echte informatie en het duurde niet lang voordat ze zich realiseerden waar het vandaan kwam.

Cybercriminelen proberen de Wawa-datalek van december te gelde te maken

In december kondigden supermarktketen en tankstation Wawa aan dat zijn betalingssysteem was geïnfecteerd met Point-of-Sale (PoS) malware. De ontdekking werd gedaan op 10 december en binnen 48 uur werd de malware verwijderd. Nader onderzoek wees echter uit dat het oorspronkelijke compromis negen maanden eerder, op 4 maart, plaatsvond.

Toentertijd wist Chris Gheysens, de CEO van Wawa, niet helemaal zeker wat de omvang van de inbreuk was, maar hij merkte op dat de malware tussen de initiële infectie en 22 april erin slaagde de betalingssystemen op het "grootste deel" van Wawa in gevaar te brengen locaties. Blijkbaar nam de intensiteit van de aanval daarna af, maar de kennisgeving van datalek impliceerde wel dat de malware in sommige winkels actief bleef totdat deze op 12 december volledig was ingesloten.

De exacte naam van de malware is voorlopig onbekend, maar we weten wel dat deze vrijwel als elke andere bedreiging van dit type heeft gehandeld. Zodra het betalingssysteem van een winkel is geïnfecteerd, is de malware ontworpen om alle gegevens te kopiëren die zijn opgeslagen op de magnetische strepen van creditcards en betaalpassen wanneer deze naar PoS-terminals worden geveegd. Deze gegevens omvatten het nummer van de kaart, de naam van de kaarthouder en de vervaldatum. Zoals Chris Gheysens in de kennisgeving heeft opgemerkt, kan PoS-malware geen PIN- en CVV-codes stelen.

Als wat JokerStash zegt waar is, resulteerde de aanval op Wawa in het compromis van 30 miljoen kaarten, wat zou betekenen dat dit een van de grootste dergelijke inbreuken in de geschiedenis is. Combineer dat met het feit dat volgens Gemini de mediane prijs van in de VS uitgegeven kaarten rond de $ 17 per pop zweeft, terwijl niet-VS retail voor ongeveer $ 210 registreert, en je zult zien hoeveel geld de hackers verdienen, tenminste in theorie.

Vanuit het perspectief van de boeven klinkt het allemaal te mooi om waar te zijn

De experts van Gemini hebben in hun rapport opgemerkt dat JokerStash blij is dat we weten waar de gegevens vandaan komen. Blijkbaar probeert de beheerder van de markt vaak hun geloofwaardigheid te vergroten door gestolen creditcards aan te bieden tijdens inbreuken die al openbaar zijn gemaakt. Dit kan echter ook goed nieuws zijn voor degenen die hun bankkaarten hebben gecompromitteerd.

Het feit dat de bres al in het nieuws is, betekent dat mensen eerder al enkele stappen hebben genomen om zichzelf te beschermen. Toen Wawa bijvoorbeeld voor het eerst over het incident sprak, bood het alle betrokkenen een jaar lang gratis identiteitsdiefstal en kredietbewakingsdiensten aan, en we zijn er zeker van dat ten minste enkele slachtoffers hiervan hebben geprofiteerd. De tankstationketen beloofde ook om te werken met mensen die frauduleuze betalingen op hun creditcards hebben gezien vanwege de inbreuk, maar geen restituties hebben ontvangen.

Met andere woorden, slachtoffers van de Wawa-inbreuk zouden beter voorbereid moeten zijn om de risico's het hoofd te bieden, en dit betekent dat de gegevensdump die JokerStash probeert te pushen niet zo aantrekkelijk is als het op het eerste gezicht lijkt.