Endnu en amerikansk butikskæde indrømmer kreditkort-lækage

Illustration: Virrage Images/Bigstock
Hackere inficerede butikkernes kortterminaler, og nu melder flere banker om ulovlige transaktioner i hæveautomaterne.

Den amerikanske byggemarkedskæde Home Depot har indrømmet en enorm sikkerhedsbrist i butikkernes software til kortterminalerne, der har gjort det muligt for hackere at bryde ind i systemet og stjæle en ukendt mængde kreditkortoplysninger fra kunderne. Det skriver den amerikanske sikkerhedsblogger Brian Krebs fra Krebs on Security.

Lækagen blev opdaget den 2. september og er blot den seneste i en lang række angreb på amerikanske butikskæder, som blandt andet Target, Sally Beauty og P.F. Chang’s.

Home Depot har meldt ud, at ingen pinkoder er blevet lækket i angrebene. Til gengæld har hackerne fået adgang til en lang række oplysninger som blandt andet kortejernes fulde navn, by, stat og postnummer, som de herefter har kunnet bruge til at trænge igennem bankernes sikkerhedstjek og ændre på pinkoderne til de stjålne kreditkort. Dette bekræftes af en markant stigning i ulovlige transaktioner i bankernes hæveautomater i den seneste tid, der kan være forbundet til Home Depot-lækagen ifølge Brian Krebs.

Det menes at være amerikanske og ukrainske hackere, der står bag angrebene. I det seneste angreb på Home Depot brugte hackerne ifølge Brian Krebs en ny variant af den samme malware ved navn ‘BlackPos’, som i december trængte ind i supermarkedskæden Targets kortterminaler og stjal op mod 110 mio. kunders kredit- og debitkortoplysninger.

Læs også: Op til 110 millioner amerikanere ramt af hackerangreb mod indkøbskæde

Danske kreditkort kan ikke vide sig sikre

Den nye variant af malwaren går under navnet ‘Kaptoxa’ og er designet til at tappe kreditkortoplysningerne, når kortet bliver kørt igennem de inficerede kortterminaler, der kører på Microsoft Windows.

Et af de nye elementer ved Kaptoxa består i, at den kan snappe kortoplysningerne fra terminalens fysiske hukommelse, mens malwaren forklæder sig som en del af systemets antivirus.

Selvom de europæiske chipbaserede kreditkort generelt bliver anset som sikrere end den amerikanske pendant med magnetstribe, vil danske og europæiske forbrugere ikke nødvendigvis kunne vide sig sikre mod et malware-angreb af den type, som Target og Home Depot oplevede.

Chipkortet er ganske vist sværere at kopiere, men når først oplysningerne ligger i kortterminalen, har malwaren frit spil. Derfor ville et tyveri ved brug af BlackPos godt kunne ske i Danmark, har it-sikkerhedseksperten Peter Kruse fra CSIS tidligere udtalt til Jyllands-Posten.

Til gengæld er Danmark også mindre interessant for hackerne, fordi butikskæderne er markant mindre, og markedet mindre lukrativt.

Læs også: Sådan stjal Target-hackerne op mod 110 millioner kunders kreditkort-data

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarke Alling

Øh.... mindre interessant. Siger Peter Kruse. Tværtimod skulle jeg da mene. Et farvand med få fiskere kan stadig give gode fangster. Hvor potentiale i US måske er 100 mio USD, men kampen hård kan man i DK fiske måske 1 mio USD. Det er stadigvæk guf for mange. Nej. Den holder ikke - påstanden om at de onde går fordi lille DK bare fordi vi er små.

  • 1
  • 0
Bjarke Alling

"Chipkortet er ganske vist sværere at kopiere, men når først oplysningerne ligger i kortterminalen, så har malwaren frit spil."

Det er en udbredt misforståelse at chip kort kan kopieres. Det kan de ikke. Den private nøgle forlader aldrig kortet og selve signeringen af korttransaktionen foretages helt nede i CardOS på terminalen. Teroretisk kan man efterberegne anvendte private nøgle, men kræver et helt lab setup og rigtigt lang tid. Tvivler det vil gå upåagtet hen i en alm. DK Netto eller Kvickly.

  • 2
  • 0
Bjarke Alling

Det lyder interessant. På de chipkort jeg normalt arbejder med, kan man ikke tilgå den private nøgle uden pinkode. Efter 3 eller 5 forsøg låses kortet. På Dankort og andre betalingskort findes en mulighed for at gennemføre betalingen uden pinkode. Det kendes fra bl.a. Storebælt, parkeringsanlæg, men også hoteller mv. Så det er rent faktisk en feature ved betalingskort ikke at kræve pinkode.
Jeg sender dig gerne et kort, kortlæser mv. Og kan du gennemfører en signeringshandling uden pinkode har jeg vist taget fejl. Men jeg tror ikke jeg taget fejl.

  • 1
  • 0
Michael Christensen

Jeg mindes stadig et besøg i et større varehus her i landet for ca. 1 år siden. Her lå der en 4 ports switch med to ledige porte ved næsten alle kasserne. Den ene var brugt til dankort terminalen og den anden til kassen. Det tredje og fjerde kunne du selv "disponere" over. Bagsiden vendte ud mod kunderne. Gad vide, hvad man kunne opnå. Jeg skrev til deres IT afdeling og fortalte om min oplevelse, men fik aldrig nogen respons. Der var ikke ændret noget, da jeg besøgte butikken for ca. ½ år siden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Den amerikanske byggemarkedskæde Home Depot har indrømmet en enorm sikkerhedsbrist i butikkernes software til kortterminalerne, der har gjort det muligt for hackere at bryde ind i systemet og stjæle en ukendt mængde kreditkortoplysninger fra kunderne. Det skriver den amerikanske sikkerhedsblogger Brian
Krebs fra Krebs on Security. Lækagen blev opdaget den 2. september og er blot den seneste i en lang række angreb på amerikanske butikskæder, som blandt andet Target, Sally Beauty og P.F. Chang’s. Home Depot har meldt ud, at ingen pinkoder er blevet lækket i angrebene. Til gengæld har hackerne fået adgang til en lang række oplysninger som blandt andet kortejernes fulde navn, by, stat og po...