Das entdeckte Datenleck vom Kartendiebstahl bei P.F. Chang’s hatte scheinbar länger Bestand als ursprünglich angenommen. Neue Informationen deuten darauf hin, dass die ersten Kartendaten bereits im September 2013 gestohlen wurden – und es erst am 11. Juni 2014 zu einem Ende kam.

Bei jedem Datenmissbrauch in Bezug auf Kreditkarten senden Visa, MasterCard und andere Herausgeber normalerweise Compromised-Account-Management-System-Warnungen (CAMS) an die Banken, die die Karten herausgeben. Diese CAMS-Warnungen dienen der Benachrichtigung über den Vorfall, sodass die Institutionen neue Karten herausgeben oder weitere Maßnahmen vornehmen können.

Am 17. Juni veröffentlichte Visa eine neue CAMS-Warnung an eine der vermutlich durch den P.F. Chang’s Vorfall betroffenen Banken. In dieser Warnung hieß es, dass viele hundert Karten von einem Datenleck betroffen sind, das bis zum September 2013 zurückreicht. Die Bank hatte mehrere Dutzend Karten von einem Untergrund-Shop erworben, der exklusiv die Kartendaten von dem P.F. Chang’s Vorfall verkauft. Jede dieser Karten war in der Warnung von Visa aufgelistet.

Die Visa-Warnung gab nicht P.F. Chang’s als Quelle der Kartendaten an (CAMS-Warnungen enthalten üblicherweise keinen Hinweis auf den betroffenen Händler).

Visa kommentierte diese Meldung bisher nicht. Auch eine Sprecherin von P.F. Chang’s gab keine direkte Antwort in Bezug auf das Zeitfenster. In einem Statement der Firma heißt es, dass sie bisher den Zeitraum noch nicht konkret bestimmen konnten. Die 192 Pei Wie Asian Diner Filialen der Kette sollen angeblich nicht von dem Vorfall betroffen sein.

Bisher ist noch nicht klar, wie viele Karten genau von dem Vorfall betroffen sind. Hochrechnungen auf Basis der Finanzdaten von P.F. Chang’s aus dem Jahr 2012 und unter Annahme einer durchschnittlichen Rechnung von 100 US-Dollar pro Restaurantbesuch sowie wiederkehrenden Kunden ergibt rund 800.000 Kartentransaktionen pro Monat. Diese Daten beziehen sich auf 2012, sind also veraltet.

P.F. Chang’s hat erst vor kurzem alle Kartenleser in seinen 211 US-Filialen ausgetauscht, sodass davon ausgegangen werden kann, dass alle diese Filialen betroffen sind. Dies würde bei einem neunmonatigen Datenleck rund 7 Millionen Karten betreffen.

Artikel von krebsonsecurity.com, 18.06.2014: P.F. Chang’s Breach Likely Began in Sept. 2013