Im Juli wurde bekannt, dass Goodwill Industries einem Cybereinbruch in Zusammenhang mit der Entwendung von Kreditkartendaten zum Opfer gefallen ist. Insgesamt waren Filialen in 21 US-amerikanischen Staaten betroffen. Damit reiht sich der Händler zunächst in eine Reihe von Vorfällen in Zusammenhang mit Point-of-Sales-Systemen (PoS, z.B. EC-Kartenautomaten) ein. Einen Unterschied gibt es jedoch: Der Vorfall bei Goodwill war nur ein Teil eines größeren Angriffs auf einen externen Servicedienstleister, mindestens zwei weitere Firmen sind betroffen.

Sicherheitsjournalist Brian Krebs berichtete als erster über den Vorfall im Juli und verfolgte es zurück zu C&K Systems, die unter anderem die Software für die PoS-Geräte vertreiben. Goodwill hatte den Großteil des Betriebs der Handels- und PoS-Systeme an C&K ausgelagert.

C&K Systems hat nun in einem Statement zugegeben, von dem Vorfall betroffen zu sein. Untersuchungen ergaben, dass der erste Einbruch irgendwann Anfang 2013 stattgefunden haben muss.

„Der unautorisierte Zugriff fand, mit Unterbrechungen, zwischen dem 10. Februar 2013 und dem 14. August 2014 statt.“

Ein Sprecher gab auch zu, dass Goodwill und zwei andere Kunden betroffen sind. Deren Namen wurden aber bisher nicht preisgegeben. Das Unternehmen geht davon aus, dass keine weiteren Kunden betroffen sind.

Das bedeutet allerdings, dass die Angreifer über einen Zeitraum von 18 Monaten Kreditkartendaten von mindestens drei Händlern abschöpfen konnten. Bisher gibt es keine Schätzungen, wie viele Kreditkarten tatsächlich durch den Vorfall kompromittiert sind.

Größere Händler rücken mehr und mehr in den Fokus von Hackern, die es auf PoS-Systeme abgesehen haben. Zuerst wurden hauptsächlich kleinere Händler anvisiert, doch mit technischem Fortschritt sind auch die größeren nicht mehr sicher. Meistens sind es nicht einmal technisch ausgeklügelte Vorgehensweisen, es reichen schon nicht veränderte Standardpasswörter. Nach der Infektion der Systeme sammeln die Hacker dann in unregelmäßigen Abständen Daten, wodurch sie einer Entdeckung entgehen. Somit können sie oft über längere Zeiträume den Zugriff auf die infizierten Geräte ausnutzen. Der Vorfall bei C&K kam ans Licht, nachdem Banken mehrere betrügerische Transaktionen zu Goodwill zurückverfolgt hatten.

Zwar werden teilweise unterschiedliche Arten von Malware eingesetzt, sie machen sich aber die gleiche Eigenschaft von vor allem US-amerikanischen Kreditkarten zunutze: Der Magnetstreifen dieser wird durch das PoS-Gerät gezogen und bevor die Daten verschlüsselt werden können, greift die Malware schon darauf zu. Visa und MasterCard versuchen schon seit längerem, dass System zu ändern.

Eine Option wäre das EMV-System, das hauptsächlich in Europa genutzt wird. Hier sind die verschlüsselten Kartenarten auf einem Chip direkt auf der Karte gespeichert und die Kunden müssen auch meist noch zusätzlich einen Pin eingeben. Zwar ist die Verschlüsselung nicht sehr stark – aber immerhin stärker als bei der bisher genutzten Variante. Händler haben bisher aber noch nicht großflächig auf dieses System umgestellt.

Das sollte sich spätestens bis Oktober 2015 ändern. Dann wollen nämlich Visa und MasterCard die durch Betrugsfälle an veralteten PoS-Geräten entstehenden Kosten auf die Händler umlegen.

Artikel von krebsonsecurity.com, 16.09.2014: Breach at Goodwill Vendor Lasted 18 Months
Artikel von arstechnica.com, 17.09.2014: Credit card data theft hit at least three retailers, lasted 18 months