Сотрудники сети ресторанов передавали данные платежных карт хакерам

Столкнувшись уже с третьим случаем кражи данных с марта, ресторанная сеть Dave Buster's Inc., Даллас, объявила вчера, что в прошлом году из компьютерных систем в 11 торговых точках сети в процессе верификации были украдены номера кредитных и дебетовых карт.

Кражи в Dave Buster's произошли в период с мая по август прошлого года и нанесли ущерб в виде мошеннических транзакций по платежным картам на сумму не менее $600 000, согласно опубликованному на днях обвинительному акту большого жюри в Окружном суде Central Islip, Нью-Йорк. Как указано в заявлении Министерства Юстиции США, трое преступников, двое из которых числятся как граждане стран Восточной Европы, были арестованы в связи с причастностью к делу и обвиняются в совершении различных преступлений. Арестованные иностранные гости были идентифицированы как Максим Ястремский (Maksym Yastremskiy), житель Украины, и Александр Суворов (Aleksandr Suvorov) из Эстонии. Акт, состоящий из 27 пунктов, включает обвинение в компьютерном мошенничестве, мошенничество с использованием телефонной линии, квалифицированную кражу данных и перехват информации в электронных каналах связи. По словам представителей Министерства, Ястремский, известный также под именем Максик (Maksik), был арестован в Турции в прошлом году, и американское правительство провело формальный арест для проведении экстрадиции преступника. Суворов, действующий в сети под псевдонимом JohnnyHell, был арестован в германии в марте этого года по запросу американских властей и остается в тюрьме до рассмотрения акта об экстрадиции. Третий обвиняемый по делу Dave Buster's был идентифицирован как Альберт Гонсалес (Albert Gonzalez), житель Майами, которому предъявлено обвинение в мошенничестве с использованием телефонной линии. По данным Министерства, Гонсалес, выступающий под прозвищем Segvec, был арестован сотрудниками американских спецслужб. Представители сети ресторанов Dave Buster's сообщили в своем комментарии, что предполагаемые преступники украли данные так называемой второй дорожки (Track 2) магнитной полосы на оборотной стороне дебетовых и кредитных карт, включая номера карт и сроки действия. Как утверждают представители компании, информация не хранилась в компьютерных системах, а была украдена по время передачи данных для авторизации транзакции. Они также подтверждают, что воры не получили доступ к персональным данным, таким как имена, адреса или PIN-коды, номера банковских счетов и Социального страхования. В официальном заявлении на сайте Dave Buster's говорится о том, что с августа прошлого года компания получила предупреждение о возможной краже данных и немедленно сообщила об этом в спецслужбы. Компания также уведомила кредитно-карточные компании о возможных проблемах в сентябре прошлого года. Но официального сообщения о краже данных не поступало до публикации обвинительного акта большого жюри. Представители Dave Buster's, располагающей 49 ресторанами, сообщили, что данные были украдены в торговых точках компании в Нью-Йорке, Иллинойсе, Флориде, Огайо, Колорадо и Техасе. После обнаружения происшествия сеть внедрила дополнительные меры безопасности для предотвращения подобных инцидентов в будущем . Правда, компания не уточнила, какие именно меры были предприняты. Согласно описанию аферы в обвинительном акте большого жюри, Ястремский и Суворов якобы сумели получить удаленный доступ к POS-серверам ресторанов Dave Buster's очевидно, авторизовавшись для доступа к системе. Затем парочка установила программное обеспечение для захвата данных второй дорожки в тот момент, когда они передавались со взломанных POS-серверов в центральную систему для пересылки в платежный процессор сети. Программа сохраняла полученные данные в регистрационном файле, откуда затем их собирали Ястремский и Суворов, как указывается в обвинительном акте. Для примера в акте упоминается регистрационный файл, полученный в одном из магазинов, содержащий информацию о 5 000 кредитных и дебетовых картах. Украденные данные предположительно продавались другим лицам, которые либо сами использовали ее, либо перепродавали, что постепенно нанесло финансовым организациям, выпустившим карты, ущерб на сумму $600 000 или более. Афера, обнаруженная в Dave Buster's, является еще одним признаком того, что преступники все чаще атакуют розничные POS-системы, считает Розен Шарма (Rosen Sharma), старший технический директор at Solidcore Systems Inc.. Целью таких попыток, как PCI, стало усиление безопасности периметра сети в тех точках, где собираются платежные данные от ритейлеров и затем перенаправляются в платежные процессоры, добавляет Шарма. При этом, уточняет он, более низкий приоритет присваивался защите POS-систем, что делало их относительно легкой целью для атакующих. Во многих розничных торговых точках существуют очень малые ограничения доступа к POS-серверам. По словам Шарма, можно подойти к этим машинам и вставить USB-устройство. В настоящее время POS-серверы могут и содержать большого объема данных о платежных картах, но с течением времени они могут стать ценной мишенью для преступников.

Сотрудники сети ресторанов передавали данные платежных карт хакерам.