40 milionów numerów kart kredytowych skradzionych klientom amerykańskiej sieci handlowej Target

Jeśli któraś z Czytelniczek/któryś z Czytelników Sekuraka przebywał w Stanach Zjednoczonych w okresie od 27. listopada do 15. grudnia 2013 roku i dokonywał zakupów w jednym z 1797 sklepów sieci Target, płacąc kartą kredytową lub debetową – powinien jak najszybciej skontaktować się ze swoim bankiem.

Cała operacja kradzieży danych krat płatniczych najprawdopodobniej rozpoczęła się tuż przed tzw. „Black Friday”, czyli tradycyjną piątkową wyprzedażą z okazji jednego z najważniejszych północno-amerykańskich świąt narodowych, czyli Święta Dziękczynienia w czwartek 28. listopada (tegoroczny „Black Friday” odbył się 29. listopada).

Wybór daty rozpoczęcia ataku (środa, 27. listopada) na pewno nie był podyktowany przypadkiem – w „Czarny Piątek” amerykański handel notuje ogromne obroty. Ludzi przyciągają do sklepów bardzo atrakcyjne wyprzedaże, zarezerwowoane właśnie na ten jeden jedyny piątek w roku. I przede wszystkim, dokonuje się wtedy milionów transakcji finansowych, a większość z nich – przy użyciu kart płatniczych.

Nie mniej niż rozmiar ataku i ilość skradzionych danych, imponujący jest sposób, w jaki został przeprowadzony. Otóż wszystkie skradzione informacje pochodzą bezpośrednio z terminali płatniczych zainstalowanych w sklepach sieci (w sumie około 40 tysięcy urządzeń), które skanowały i kopiowały dane z pasków magnetycznych (po przeciągnięciu karty przez szczelinę w czytniku), przez okres ponad trzech tygodni, zanim sprawa nie ujrzała światła dziennego. W jaki sposób w 1797 sklepach ktoś zainstalował te urządzenia – pozostaje zagadką, którą ma wyjaśnić prowadzone już przez Secret Service śledztwo (US Secret Service prowadzi oficjalnie śledztwa w takich sprawach, gdyż w zakresie odpowiedzialności tych służb leży m.in. ochrona amerykańskiego systemu finansowego).

Cała sprawa wyszla na jaw, gdy analitycy bezpieczeństwa jadnego z banków dokonywali kontrolowanej transakcji polegającej na odkupieniu dużej ilości skradzionych numerów kart kredytowych, wydanych przez bank, w jednym ze znanych internetowych card-shop’ów (miejsce, gdzie przestępcy oferują do sprzedaży skradzione dane o kartach). Bankowi analitycy sytematycznie wyszukiwali kolejne paczki danych, aż znaleźli źródło ich pochodzenia i w ten sposób odkryli to, co wydarzyło się w sklepach Target w okresie od Swięta Dziękczynienia 27. listopada do 15. grudnia.

Jak informuje na swoim blogu Brian Krebs , wśród skradzionych numerów kart znajduje się również wiele pochodzących spoza granic Stanów Zjednoczonych. Niedługo po ujawnieniu ataku, dane znalazły się w jednym ze sklepów internetowych oferujących do sprzedaży skradzione numery kart kredytowych i debetowych. Jak się okazało, niektóre z oferowanych tam baz danych (a szczególnie jedna, o nazwie 'Barbarossa’) zawierały informacje pochodzące z ataku na sieć Target i bynajmniej nie były to karty wydane przez banki amerykańskie (więcej szczegółów na ten temat można znaleźć we wpisie Briana Krebsa Non-US Cards Used At Target Fetch Premium)

Atak na klientów sieci Target nie przebił rekordzisty – w 2007 roku doszło do kradzieży, według różnych źródeł, od 46 do 90 milionów numerów kart klientów firm TJ Maxx, HomeGoods oraz Marshalls – Nearly 46 Million Credit Card Numbers Stolen (NewsChannel 5, Boston)

Wszystkim klientom, którzy padli ofiarą ataku, sieć Target zaoferowała 10% rabatu na zakupy.

żródła:
Oficjalny komunikat prasowy przewodniczącego rady nadzorczej Target, P. Gregga Steinhafela
Target Hit by Credit-Card Breach (Wall Street Journal, 19. grudnia)
40 Million Credit Card accounts affected in massive data breach at 'Target’ Stores during Black Friday (The Hacker News, 19. grudnia)
Target card heist hits 40 million (BBC News, 19. grudnia)
Cards Stolen in Target Breach Flood Underground Markets (KrebsOnSecurity, 20. grudnia)
Non-US Cards Used At Target Fetch Premium (KrebsOnSecurity, 22. grudnia)

– bl4de