Neiman Marcus hat die Anzahl der Zahlungskarten, die durch das kürzlich aufgedeckte Datenleck vermutlich betroffen sind, nach unten korrigiert. Ursprünglich ging man von einer Zahl von um die 1,1 Millionen Karten aus, doch eine Untersuchung stellte fest, dass es wohl eher „nur“ 350.000 sind. Von diesen wurden bisher 9.200 auf betrügerische Weise genutzt.

Außerdem fanden die Ermittler heraus, dass das Sicherheitssystem des Netzwerkes rund 60.000 Alarmmeldungen ausgelöst hatte. Diese waren allerdings als falsch positiv interpretiert worden, da die Malware einen fast identischen Namen mit der Bezahlsoftware der Firma trug. Zwar hätte das System die Malware automatisch blockieren können, aus Instandhaltungsgründen war diese Möglichkeit jedoch ausgeschaltet.

Die neuen Details wurden von CEO Karen Katz am 21. Februar 2014 auf der Unternehmenswebseite gepostet. „Die Zahl der betroffenen Karten reduzierte sich, da die Untersuchung zeigte, dass die Malware nicht in allen unseren Filialen zum Einsatz kam“, gibt Katz in dem Statement an. Auf eine Anfrage nach weiteren Informationen kam bisher keine Reaktion seitens der Firma. Den Untersuchungen zufolge waren 77 Filialen von der Malware betroffen, allerdings nicht alle über den kompletten Zeitraum.

„Egal, ob ihre Karte betroffen ist oder nicht, wir haben alle Kunden benachrichtigt, von denen wir (E-Mail-)Adressen haben und die 2013 bei uns im Laden oder online eingekauft haben“, so Katz.

Die für den Datendiebstahl genutzte Software wird als „ausgeklügelt“ und „sich selbst versteckend“ beschrieben und hat Informationen von Zahlungskarten entwendet. Darüber hinaus wurde auch andere Malware, die in Zusammenhang mit dem Angriff steht, schon im März 2013 im System von Neiman Marcus gefunden. Die Firma gibt aber an, dass diese Malware keine Kartendaten lesen konnte.

Artikel von govinfosecurity.com, 22.02.2014: Neiman Marcus Hackers Set Off 60,000 Alerts With Card Thefts
Artikel von bloomberg.com, 23.02.2014: Neiman Marcus Downsizes Breach Estimate