In einem Brief von Anfang September gibt der CEO von Goodwill, Jim Gibbons, bekannt, dass bei der kürzlich entdeckten PoS-Attacke auch Zahlungsinformationen der Kunden des Unternehmens kompromittiert wurden. Die Malware-Attacke richtete sich gegen einen Hersteller von PoS-Geräten, die in rund zehn Prozent der Filialen des Unternehmens eingesetzt werden.

Im Zeitraum vom 10. Februar 2013 bis zum 14. August 2014 schöpften die Angreifer sporadische Informationen aus dem System ab. Diese umfassen Namen, Kartennummern und Gültigkeitsdaten. Gibbons zufolge gibt es bisher keine Hinweise darauf, dass auch Adressen und PIN-Nummern betroffen sind.

Rund 868.000 Karten und 330 Filialen in 19 Staaten sind von dem Vorfall betroffen. Unternehmenssprecherin Lauren Lawson:

„Unsere externen Forensiker bestätigten, dass die genutzte Malware als rawpos bekannt ist. Dieser Vorfall hat demnach keine Verbindung zur ‚Backoff‘-Malware.“

Symantec berichtete bereits über „Infostealer.Rawpos“, einen Trojaner, der im Februar dieses Jahres entdeckt wurde. Er wurde so gestaltet, dass er vertrauliche Informationen von infizierten Computern entwendet.

Goodwill stoppte die Nutzung der Geräte von dem betroffenen Hersteller und hat bisher keine Hinweise auf Infektionen seiner internen Netzwerke gefunden. Kartenherausgeber haben bisher „sehr beschränkte“ Betrugsfälle in Zusammenhang mit dem Vorfall gemeldet.

Lawson:

„Da der Vorfall keine Sozialversicherungsnummern betrifft, bietet Goodwill derzeit keine Dienstleistungen zur Kreditüberwachung an.“

Die Firma unternimmt diverse Maßnahmen, um einem ähnlichen Vorfall in Zukunft vorzubeugen. So wurde eine unternehmensweite Member Security Taskforce ins Leben gerufen und Abmachungen mit Sicherheitsunternehmen getroffen. Außerdem gibt es mehr Schulungen zu dem Thema Datensicherheit und die Infrastruktur soll verbessert werden.

Nir Polak von Exabeam dazu:

„Anstelle der Überwachung aller möglichen Eintrittspunkte für Hacker können Unternehmen Angreifern einen Schritt voraus sein, indem sie verdächtiges Verhalten im IT-Netzwerk schneller erkennen – vor allem, wenn es von einer externen Adresse kommt.“

Artikel von scmagazine.com, 04.09.2014: Goodwill announces breach, more than 800K payment cards compromised