Endnu en amerikansk butikskæde indrømmer kreditkort-lækage

9. september 2014 kl. 11:555
Hackere inficerede butikkernes kortterminaler, og nu melder flere banker om ulovlige transaktioner i hæveautomaterne.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den amerikanske byggemarkedskæde Home Depot har indrømmet en enorm sikkerhedsbrist i butikkernes software til kortterminalerne, der har gjort det muligt for hackere at bryde ind i systemet og stjæle en ukendt mængde kreditkortoplysninger fra kunderne. Det skriver den amerikanske sikkerhedsblogger Brian Krebs fra Krebs on Security.

Lækagen blev opdaget den 2. september og er blot den seneste i en lang række angreb på amerikanske butikskæder, som blandt andet Target, Sally Beauty og P.F. Chang’s.

Home Depot har meldt ud, at ingen pinkoder er blevet lækket i angrebene. Til gengæld har hackerne fået adgang til en lang række oplysninger som blandt andet kortejernes fulde navn, by, stat og postnummer, som de herefter har kunnet bruge til at trænge igennem bankernes sikkerhedstjek og ændre på pinkoderne til de stjålne kreditkort. Dette bekræftes af en markant stigning i ulovlige transaktioner i bankernes hæveautomater i den seneste tid, der kan være forbundet til Home Depot-lækagen ifølge Brian Krebs.

Det menes at være amerikanske og ukrainske hackere, der står bag angrebene. I det seneste angreb på Home Depot brugte hackerne ifølge Brian Krebs en ny variant af den samme malware ved navn ‘BlackPos’, som i december trængte ind i supermarkedskæden Targets kortterminaler og stjal op mod 110 mio. kunders kredit- og debitkortoplysninger.

Danske kreditkort kan ikke vide sig sikre

Den nye variant af malwaren går under navnet ‘Kaptoxa’ og er designet til at tappe kreditkortoplysningerne, når kortet bliver kørt igennem de inficerede kortterminaler, der kører på Microsoft Windows.

Artiklen fortsætter efter annoncen

Et af de nye elementer ved Kaptoxa består i, at den kan snappe kortoplysningerne fra terminalens fysiske hukommelse, mens malwaren forklæder sig som en del af systemets antivirus.

Selvom de europæiske chipbaserede kreditkort generelt bliver anset som sikrere end den amerikanske pendant med magnetstribe, vil danske og europæiske forbrugere ikke nødvendigvis kunne vide sig sikre mod et malware-angreb af den type, som Target og Home Depot oplevede.

Chipkortet er ganske vist sværere at kopiere, men når først oplysningerne ligger i kortterminalen, har malwaren frit spil. Derfor ville et tyveri ved brug af BlackPos godt kunne ske i Danmark, har it-sikkerhedseksperten Peter Kruse fra CSIS tidligere udtalt til Jyllands-Posten.

Til gengæld er Danmark også mindre interessant for hackerne, fordi butikskæderne er markant mindre, og markedet mindre lukrativt.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
9. september 2014 kl. 23:15

Jeg mindes stadig et besøg i et større varehus her i landet for ca. 1 år siden. Her lå der en 4 ports switch med to ledige porte ved næsten alle kasserne. Den ene var brugt til dankort terminalen og den anden til kassen. Det tredje og fjerde kunne du selv "disponere" over. Bagsiden vendte ud mod kunderne. Gad vide, hvad man kunne opnå. Jeg skrev til deres IT afdeling og fortalte om min oplevelse, men fik aldrig nogen respons. Der var ikke ændret noget, da jeg besøgte butikken for ca. ½ år siden.

2
9. september 2014 kl. 17:00

"Chipkortet er ganske vist sværere at kopiere, men når først oplysningerne ligger i kortterminalen, så har malwaren frit spil."

Det er en udbredt misforståelse at chip kort kan kopieres. Det kan de ikke. Den private nøgle forlader aldrig kortet og selve signeringen af korttransaktionen foretages helt nede i CardOS på terminalen. Teroretisk kan man efterberegne anvendte private nøgle, men kræver et helt lab setup og rigtigt lang tid. Tvivler det vil gå upåagtet hen i en alm. DK Netto eller Kvickly.

3
9. september 2014 kl. 20:22

Har du ikke set at med simpelt udstyr kan man bruge dit dankort med chip uden at kende koden. Det hack er ret simpelt.

4
9. september 2014 kl. 20:37

Det lyder interessant. På de chipkort jeg normalt arbejder med, kan man ikke tilgå den private nøgle uden pinkode. Efter 3 eller 5 forsøg låses kortet. På Dankort og andre betalingskort findes en mulighed for at gennemføre betalingen uden pinkode. Det kendes fra bl.a. Storebælt, parkeringsanlæg, men også hoteller mv. Så det er rent faktisk en feature ved betalingskort ikke at kræve pinkode. Jeg sender dig gerne et kort, kortlæser mv. Og kan du gennemfører en signeringshandling uden pinkode har jeg vist taget fejl. Men jeg tror ikke jeg taget fejl.

1
9. september 2014 kl. 16:54

Øh.... mindre interessant. Siger Peter Kruse. Tværtimod skulle jeg da mene. Et farvand med få fiskere kan stadig give gode fangster. Hvor potentiale i US måske er 100 mio USD, men kampen hård kan man i DK fiske måske 1 mio USD. Det er stadigvæk guf for mange. Nej. Den holder ikke - påstanden om at de onde går fordi lille DK bare fordi vi er små.