Allarme Furto Dati nel Retail USA

Alcune note catene di grandi magazzini negli Stati Uniti sono state vittime di attacchi informatici che hanno violato i sistemi di sicurezza, rubando informazioni sulle carte di credito di milioni di consumatori. 

Quest’imponente ondata di pirateria informatica è stata messa in atto nel periodo tra il Ringraziamento e Natale, durante il quale si registra il maggior numero di acquisti online.

Il primo e più grave caso ad essere reso noto è quello relativo a Target, uno dei più grandi gruppi della vendita al dettaglio. Secondo le ultime risultanze delle indagini, i clienti coinvolti sarebbero 110 milioni e il furto riguarderebbe non solo i dati relativi a carte di credito e codici di sicurezza associati, ma anche nomi, indirizzi, email e numeri di telefono.

In seguito anche il rivenditore Neiman Marcus e, qualche giorno fa, Easton-Bell Sports, hanno ammesso di collaborare con i servizi segreti statunitensi nelle indagini per analoghi attacchi informatici ai loro danni, ma sarebbero finiti nel mirino degli hacker anche altri rivenditori, i cui nomi rimangono al momento riservati. 

All’origine dell’attacco contro Target ed altri retailer USA ci sarebbe un malware, chiamato BlackPOS, che consentirebbe di accedere alle informazioni nel momento in cui vengono immagazzinate nella memoria di un computer.

La tecnica di hacking, chiamata scraping memory e basata su malware chiamati RAM scraper o memory-parserpermette di intercettare i dati della carta di credito nel momento del passaggio in chiaro che avviene nella memoria delle macchine che gestiscono il pagamento, prima che i dati vengano spostati al server criptato del rivenditore. Secondo alcune rivelazioni, BlackPOS sarebbe stato venduto a vari cybercriminali, nell’Europa dell’est e in altri paesi, in una sessantina di diverse versioni ed è quindi probabile che le aziende vittime di analoghi attacchi siano molte di più e che tali violazioni non siano ancora emerse.

Pesanti gli effetti della violazione sui retailer, con il management di Target costretto a testimoniare davanti al congresso e il CEO di Neiman Marcus che, scusandosi pubblicamente, ha offerto servizi gratuiti di monitoraggio del credito.

L'FBI ha emesso un avviso ai rivenditori, avvertendo che il malware che infetta i sistemi POS è da ricollegare ad una ventina di altri casi di hacking avvenuti lo scorso anno, e di aspettarsi ulteriori nuove violazioni.

Quali sono le misure che i rivenditori possono adottare per migliorare la sicurezza dei dati?
Lo standard PCI-DSS (Payment Card Industry Data Security Standard) - elaborato con lo scopo di uniformare le modalità di gestione della sicurezza dei dati delle carte di credito da parte del consorzio PCI creato da American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International – è senz’altro un imprescindibile punto di partenza. Lo standard deve essere rispettato da tutte le entità (esercenti, service provider, banche) coinvolte in una transazione mediante carta di credito che comporti la trasmissione, l’utilizzo o la memorizzazione del Primary Account Number (PAN) della carta. Tutti i settori commerciali ne sono interessati.

Le minacce ai dettaglianti sono in continua evoluzione ed è necessario aggiornare continuamente la propria risposta, affidandosi a degli esperti.

Scegli Yarix come partner per proteggere le transazioni con carta di credito e assicurare la conformità allo standard PCI DSS, per garantire livelli elevati di protezione.

Vedi anche: