Konsekvenserna av Wawa dataintrång 2019: Miljöers privata data säljs på mörk web

Förra veckan märkte forskare från hotintelligensföretaget Gemini Advisory att det fanns ett nytt erbjudande på Joker's Stash, en av Dark Web: s mest populära marknadsplatser för stulna kreditkortsuppgifter. Det publicerades av webbplatsens moderator (som går efter det ganska fantasifulla smeknamnet JokerStash) och fick namnet BIGBADABOOM-III. Gemini's forskare beslutade att titta närmare på vad cyberbrottslingarna hade att erbjuda.

Den 27 januari laddade upp JokerStash de fyra första databaserna. Annonsen anger att hela samlingen består av mer än 30 miljoner skivor, men den senaste veckans parti har bara 100 tusen. Forskarna hittade en hel del förfalskade geolokationsdata inuti databaserna, men de såg också massor av verklig information, och det tog dem inte lång tid att inse var det hade kommit ifrån.

Cyberbrottslingar försöker tjäna pengar på december Wawa-dataintrång

I december meddelade närbutiken och bensinstationskedjan Wawa att dess betalningssystem hade infekterats med Point-of-Sale (PoS) skadlig programvara. Upptäckten gjordes den 10 december, och inom 48 timmar togs skadlig programvara bort. Ytterligare undersökningar visade dock att den inledande kompromissen inträffade nio månader tidigare, den 4 mars.

Vid den tiden var Chris Gheysens, Wawas VD, inte helt säker på vad omfattningen av överträdelsen var, men han noterade att mellan den initiala infektionen och den 22 april lyckades skadlig programvara kompromissa med betalningssystemen "mest" av Wawa's platser. Uppenbarligen minskade attackens intensitet efter det, men meddelandet om överträdelse av data innebar att skadlig programvara fortsatte att vara aktiv i vissa butiker tills den var helt innehållande den 12 december.

Det exakta namnet på skadlig programvara förblir okänt för tillfället, men vi vet att det fungerade ganska mycket som alla andra hot av denna typ. När en butiks betalningssystem har infekterats är skadlig programvara utformad för att kopiera all information som är lagrad på de magnetiska ränderna med kredit- och betalkort när de svepas vid PoS-terminaler. Dessa data inkluderar kortets nummer, kortinnehavarens namn och utgångsdatum. Som Chris Gheysens påpekade i meddelandet kan PoS-skadlig programvara inte stjäla PIN- och CVV-koder.

Om det som JokerStash säger är sant, resulterade attacken på Wawa i kompromissen med 30 miljoner kort, vilket skulle betyda att detta är ett av historiens största överträdelser av denna typ. Koppla ihop det med det faktum att medianpriset för USA-utgivna kort enligt Gemini svävar runt $ 17 per pop medan icke-amerikanska poster handlar för cirka $ 210, och du kommer att se hur mycket pengar hackarna står för att tjäna, åtminstone i teorin.

Ur skurkarnas perspektiv låter det hela för bra för att vara sant

Gemini's experter noterade i sin rapport att JokerStash är glad över att vi vet var datan kommer ifrån. Uppenbarligen försöker marknadens administratör ofta öka sin trovärdighet genom att erbjuda kreditkort som stulits under överträdelser som redan har offentliggjorts. Detta kan dock också vara goda nyheter för dem som fick sina bankkort komprometterade.

Det faktum att överträdelsen redan har gjort nyheterna innebär att människor är mer benägna att redan har vidtagit några åtgärder för att skydda sig själva. När Wawa pratade om tillbudet för första gången, till exempel, erbjöd den gratis identitetsstöld och kreditövervakningstjänster under ett år till alla inblandade, och vi är säkra på att åtminstone några av offren har utnyttjat detta. Bensinstationskedjan lovade också att arbeta med människor som har sett falska betalningar på sina kreditkort på grund av överträdelsen men har inte fått några återbetalningar.

Med andra ord, offer för Wawa-brottet bör vara bättre förberedda på att möta riskerna, och det innebär att datadumpen som JokerStash försöker driva inte är så tilltalande som det verkar i början.