Έρευνα για απάτη με κάρτες πληρωμών στην αλυσίδα εστιατορίων Zoup δείχνει ότι προήλθε από παραβίαση των συστημάτων πληρωμών του πωλητή POS, NEXTEP Systems.
Η Zoup franchise έχει περισσότερα από 70 σημεία διάσπαρτα σε όλη τη Βόρεια Αμερική και τον Καναδά, χρησιμοποιώντας όλα τα συστήματα POS της NEXTEP.
Τα χρηματοπιστωτικά ιδρύματα εντόπισαν μια απάτη με κάρτες πληρωμών που χρησιμοποιήθηκαν σε πολλά σημεία της αλυσίδας εστιατορίων, αλλά φαίνεται ότι η παραβίαση έγινε σε υψηλότερο επίπεδο.
Αφού επικοινώνησε με τον CEO της Zoup, Eric Ersher για το θέμα, ο Brian Krebs κατευθύνθηκε προς την NEXTEP, η οποία διερευνά επί του παρόντος ενδεχόμενη παραβίαση των συστημάτων της.
Ερευνώντας περαιτέρω το θέμα, ο Krebs έμαθε ότι ο πωλητής PoS πρόσφατα ενημερώθηκε από τις αρχές σχετικά με ένα πιθανό πρόβλημα στην ασφάλεια των συστημάτων της, που μπορεί να γίνει αντικείμενο εκμετάλλευσης από εγκληματίες του κυβερνοχώρου.
Ο Πρόεδρος της NEXTEP, Tommy Woycik, είπε ότι δεν πιστεύει ότι όλοι οι έμποροι που χρησιμοποιούν συσκευές σημείων πώλησης τους επηρεάστηκαν, αν και τα αποτελέσματα της υπό εξέλιξης έρευνας δεν έχουν ακόμα προσδιορίσει την πλήρη έκταση της παραβίασης.
Η NEXTEP που ιδρύθηκε το 2005 και εδρεύει στο Troy του Michigan, παρέχει συσκευές πληρωμής για ένα μεγάλο αριθμό πελατών στον κλάδο των υπηρεσιών εστίασης, σε αεροδρόμια και στον τομέα της υγειονομικής περίθαλψης και της εκπαίδευσης.
Ο πωλητής PoS έχει λάβει μέτρα για να βεβαιωθεί ότι το πρόβλημα αντιμετωπίζεται σε όλες τις τοποθεσίες πελατών. “Σε αυτό το στάδιο, δεν είμαστε βέβαιοι για την έκταση της παραβίασης και εργαζόμαστε όλο το εικοσιτετράωρο για να εξασφαλίσουμε την πλήρη ανάλυση του συμβάντος”, είπε ο Woycik Krebs.
Η εταιρεία συνεργάζεται με νομικούς εμπειρογνώμονες και με ειδικούς της ασφάλειας πληροφοριών για να προσδιορίσει την αιτία του προβλήματος.
Τις περισσότερες φορές, μια παραβίαση ασφάλειας σε έναν πωλητή PoS συμβαίνει λόγω της ανεπαρκούς προστασίας των log-in διαπιστευτηρίων που χρησιμοποιούνται για την απομακρυσμένη διαχείριση. Με την πρόσβαση στα εσωτερικά συστήματα, οι εγκληματίες του κυβερνοχώρου μπορεί να αποσπάσουν πληροφορίες πληρωμής που μπορούν να μεταφερθούν σε κλωνοποιημένες κάρτες, οι οποίες μπορεί στη συνέχεια να χρησιμοποιηθούν για αγορές σε διάφορα καταστήματα.
Το εμπόρευμα που λαμβάνεται με αυτόν τον τρόπο γενικά πωλείται σε πολύ χαμηλότερη τιμή, προκειμένου να επιστραφεί κέρδος όσο το δυνατόν συντομότερα.
