Ende letzten Jahres gab Wawa Inc. bekannt, dass Cyber-Diebe neun Monate lang unbemerkt Kreditkartendaten seiner Kunden abgegriffen hatten. Zugangspunkt war Malware, die auf den Zahlungsservern von Wawa installiert worden war. So konnten über Monate hinweg möglicherweise etwas mehr als 30 Millionen Bezahldaten abgegriffen werden. Wawa, ist eine große amerikanische Mischwaren- und Tankstellenkette mit 850 Standorte, die alle von dem Vorfall betroffen waren. Die erste Charge von 100.000 Datensätzen ist nun auf dem Internet Schwarzmarkt aufgetaucht.

Die Betrugsexperten der amerikanischen Firma Gemini Advisory haben kürzlich die Datensätze im Dark-Web auf dem Joker’s Stash Marktplatz entdeckt. Angeboten werden sie unter dem Namen BIGBADABOOM-III. Darunter sind wohl auch die Kartendaten von etwa einer Million ausländischer Kunden. Gemini hat sich auf die Überwachung von Darkweb-Aktivitäten spezialisiert.

Am 19. Dezember letzten Jahres informierte Wawa seine Kunden über die Malware auf seinen Zahlungssystemen und Tankautomaten. Auch alle beteiligten Unternehmen der Kreditkartenbranche wurden alarmiert. Wawa selbst hatte den Datendiebstahl erst neun Tage zuvor entdeckt. Am 12. Dezember konnten ihre IT-Experten die Gefahr beseitigen. Gleichzeitig kam heraus, dass die Malware bereits am 04. März 2019 eingeschleust worden war. Seitdem wurden Kundeninformationen wie Debit- und Kreditkartennummern, Ablaufdaten und Namen der Karteninhaber abgesaugt. Laut dem Unternehmen wären aber keine PIN oder CVV-Nummern betroffen. Die Experten von Gemini Advisory fanden allerdings bei einer Stichprobe des BIGBADABOOM-III Angebots aber genau diese Informationen.

Auf dem Joker’s Stash Marktplatz werden die Karteninformationen der amerikanischen Kartenhalter im Durchschnitt zum Stückpreis von 17 US-Dollar verkauft. Für internationale Kartendaten wird 210 US-Dollar verlangt. Gemini fand heraus, dass die meisten der zum Verkauf angebotenen Daten aus Bezahlvorgängen in Florida und Pennsylvania stammen. Einige der Daten stammten von Karteninhabern aus Europa, Lateinamerika, und verschiedenen asiatischen Ländern. Es ist unwahrscheinlich, dass alle 31 Millionen Datensätze verkauft werden. Zum einen, da der Datendiebstahl bereits publik gemacht und die Betroffenen informiert wurden. Zum anderen überschwemmt das Angebot irgendwann die Nachfrage. Joker‘s Stash ist seit Langem bekannt für sein umfangreiches Angebot an Kartendaten aus großen Datendiebstählen von namhaften amerikanischen Unternehmen. Und mit dem aktuellen Vorfall können sie sich die Angreifer durchaus rühmen – er zählt zu den bisher größten der Geschichte. Die Rangliste der größten Datendiebstähle dieser Art führen bisher die Unternehmen Home Depot und Target an.

Wie ist so eine große Datenpanne möglich?

Vorfälle wie dieser gelingen den Kriminellen, wenn sie ihre Malware ohne große Probleme in Point-of-Sale-Geräte einspielen können. Diese Schadprogramme können Daten von dem Magnetstreifen kopieren, wenn Kreditkarten an kompromittierten Geräten durchgezogen werden. Besonders erfolgreich ist dieses Vorhaben, wenn es über lange Zeit unbemerkt bleibt. Bisher ist vor allem die USA mit solchen großen Diebstählen von Kartendaten aufgefallen. Das liegt daran, dass die USA bei modernen Bezahlmethoden deutlich hinterherhinken. Es heißt, dass unter allen G20-Nationen, die Amerikaner das Schlusslicht seien und den Übergang zu sichereren chipbasierten Karten noch nicht vollzogen hätten.

Tatsache ist, dass solche modernen Karten für Kriminelle viel schwieriger zu fälschen sind als ältere Kartenarten. Viele amerikanische Händler haben ihre Zahlsysteme aber noch nicht auf chipbasierte Kartenlesegeräte umgestellt. Laut einer Statistik des Kreditkartenunternehmens VISA hat sich die Zahl der Kartendiebstähle um 81 Prozent reduziert, wenn chipbasierte Lesegeräte verwendet werden. Allerdings sind solche Umstellungen besonders für kleinere Unternehmen teuer. Daher schieben viele Händler dies vor sich hin, obwohl die Deadline bereits Anfang Oktober 2017 abgelaufen war. Aus diesem Grund wurde ein neuer Termin gesetzt: 1. Oktober 2020.

Abschließend bleibt zu erwähnen, dass Wawa sich auf hohe Geldstrafen und Sammelklagen wird einstellen müssen. Die Ausrede, dass ein Unternehmen in der Größe von Wawa es sich nicht leisten kann, neue Kartenlesegeräte einzuführen, kann nicht gelten. Das Unternehmen hat es eindeutig versäumt, seine Kundendaten zu schützen. Bis jetzt hat Wawa seinen Kunden schon mal die übliche 12-monatige Kreditüberwachung angeboten, die generell aber als nicht allzu wirksam bemängelt wird.

Artikel von zdnet.com, 28.01.2020: Wawa’s massive card breach: 30 million customers‘ details for sale online
Artikel von krebsonsecurity.com, 20.01.2020: Wawa Breach May Have Compromised More Than 30 Million Payment Cards
Artikel von arstechnica.com, 29.01.2020: Skimming heist that hit convenience chain may have compromised 30 million cards

Beitragsbild: Public Domain, Creative Commons CC0, jarmoluk über pixabay