Violação de sistema de ponto de venda cada vez mais comum

Em um comunicado emitido por Jimmy John a empresa confirmou a violação de dados de seus sistemas de ponto-de-venda em 216 locais em os EUA.

A rede de sanduíches dos Estados Unidos Jimmy John confirmou uma violação em suas 216 lojas. A notícia foi divulgada pelo KrebsonOnSecurity algumas semanas depois que Brian Krebs anunciou investigação sobre  alegações de violação.

Jimmy John  empresa confirmou que um de seus fornecedores de pagamento foi comprometida expondo ao cliente os dados de crédito e débito em 216 lojas.

Jimmy John publicou em seu site oficial, jimmyjohns.com, a lista de locais que sofreram a violação de dados , 216 lojas  em  mais de 1.900 franqueados locais Jimmy John nos Estados Unidos.

Em julho, KrebsOnSecurity informou que vários bancos notado atividades anômalas em cartões que foram recentemente usados ​​em lojas de Jimmy John nos EUA.

Imediatamente a companhia de Jimmy John relatou suas informações para o cumprimento da lei, que começou a investigação.

Jimmy João 2

KrebsOnSecurity especulou que o incidente poderia ser ligado ao software  rodando em sistemas de ponto-de-venda  projetados por Newtown, Pensilvânia . sistemas de assinatura baseados.

" várias lojas Jimmy John contactadas por este autor disse que correu sistemas de ponto-de-venda feitas por Newtown, Pensilvânia . sistemas de assinatura baseados. ", afirma Brian Krebs em seu blog.

De acordo com Jimmy John, entre 16 de junho de 2014 e 05 de setembro de 2014  clientes dos dados de crédito e cartão de débito foi comprometida após um intruso roubou as credenciais de login de vendedor da empresa ponto-de-venda e os usou para acessar remotamente o ponto de sistemas -Venda em algumas lojas localizadas em os EUA.

"Cerca de 216 lojas parecem ter sido afetados por este evento", disse Jimmy John, em comunicado. "Cartões impactados por este evento parecem ser os que bateu nas lojas, e não incluem os cartões inseridos manualmente ou online. As informações de crédito e cartão de débito em questão podem incluir o número do cartão e, em alguns casos, o nome do titular do cartão, código de verificação e / ou data de validade do cartão. Informações inseridas em linha, como o endereço do cliente, e-mail e senha, continua a ser seguro. ", Afirma Jimmy John em um comunicado oficial.

A declaração de Jimmy John confirma que o fornecedor de ponto-de-venda foi comprometida, mas mesmo assim evitado a fornecer seu nome.

Sistemas de ponto-de-venda são um alvo privilegiado para os criminosos, os incidentes recentes demonstraram que os atores de ameaças estão concentrando seus esforços em sistemas POS compromisso devido à falta de sistemas de defesa adequados. Em muitos casos, os sistemas POS são mal configurados, os fornecedores de permitir o acesso remoto às máquinas com processos fracos de autenticação.

Como corretamente observado por Brian Krebs, não é o risco de que também outras empresas que usam o mesmo software POS pode ter sido igualmente violado.

Em alguns casos, os atores de ameaças são capazes de comprometer sistemas de ponto-de-venda resto não detectado por um longo tempo, com conseqüências graves como o recente incidente ocorrido com a empresa Goodwill. POS Pagamento sistema em GoodWill foram produzidos pela C & K Systems Inc., ameaça atores não foi detectada por 18 meses, e envolveu outros dois C & K clientes como-ainda sem nome.

É hora de abordar seriamente a segurança para sistemas POS.

Pierluigi Paganini