Diefstal klantgegevens van supermarktketen VS duidt op geavanceerde cyberaanvallers

(23 april 2013) Mogelijk zijn onlangs miljoenen kredietkaartgegevens gestolen van klanten van een Amerikaanse supermarktketen. Volgens de retailer is het misbruik beperkt gebleven en het lek inmiddels ‘gedicht’. Maar beveiligingsdeskundigen concluderen dat retailers en andere bedrijven erg kwetsbaar zijn. Cyberaanvallers worden steeds slimmer en het afweren van aanvallen en het opsporen van lekken is steeds lastiger. Tijd voor nieuwe, betere beveiligingsmethoden?

(door Rob Bleijerveld)

Een Amerikaanse supermarktketen – Schnuck Markets – meldde onlangs dat de kredietkaartgegevens van een groot aantal klanten mogelijk in handen zijn gekomen van cyber-criminelen. Het bedrijf werd er door kredietmaatschappijen op gewezen dat met een deel van de gestolen gegevens fraude is gepleegd. Daarop nam de leiding van de retailer naar eigen zeggen meteen afdoende veiligheidsmaatregelen en werkte daarbij samen met de Amerikaanse justitie en de kredietmaatschappijen. Sindsdien zouden er geen nieuwe gevallen van fraude bij zijn gekomen.

Bij de cyberaanval zijn tussen vorig jaar december en 29 maart van dit jaar uit 79 van de 100 Schnucks-winkels gegevens gestolen. Het gaat daarbij om de nummers en de verloopdatumgegevens van ongeveer 2,4 miljoen krediet- en debietkaarten. De cyber-aanvallers zouden echter geen toegang hebben gehad tot de databases met de namen, adressen of andere identificeerbare gegevens van de kaarthouders, zo liet Schnucks weten. Het concern heeft zo snel mogelijk zijn klanten op de hoogte gesteld en excuses aangeboden.

Lastige en tijdrovende klus

Nadere beschouwing leert echter dat het opsporen en dichten van het lek geen eenvoudige zaak was. Na de eerste melding door de kredietmaatschappijen over fraude duurde het 5 dagen voordat een intern onderzoek bij Schnucks had uitgewezen dat er geen sprake was geweest van gegevensdiefstal door werknemers of van lekkage via kassa-apparatuur. Een ingehuurd, gespecialiseerd beveiligingsbedrijf had daarna nog 11 dagen nodig om vast te stellen waar het lek precies zat. Tenslotte duurde het nog anderhalve dag voordat het lek daadwerkelijk gedicht was en het veiligheidsnivo verhoogd.

In die 2 weken tijd – tussen melding en oplossing – stond het computersysteem van de retailer dus nog wagenwijd open. En al die tijd werden de kaartgegevens van de klanten van Schnuck Markets – zoals gebruikelijk – verwerkt door diezelfde computers….

Leermoment

Deze zaak toont volgens ICT-deskundige Avivah Litan het hoge niveau van dit soort cyberaanvallen aan. Maar ook dat bedrijven als Schnuck Markets en zelfs gespecialiseerde beveiligingsbedrijven er geen direkt antwoord op hebben. Men wist namelijk niet hoe verdere lekkage kon worden ingedamd of voorkomen. En de aanval bleek zeer goed gemaskeerd.

Cyber-aanvallers maken steeds vaker gebruik van technieken om gestolen data te verbergen in bestaande, officiële bestanden en om ontdekking te voorkomen gebruiken ze cryptografie. De bestaande gereedschappen om de lekken snel te vinden zijn volgens Litan ontoereikend en de beveiligingssoftware is niet in staat om de aanvallen te ontdekken op het moment waarop ze plaatsvinden.

Ondertussen wordt er gewerkt aan de ontwikkeling van andere methoden om aanvallen beter te kunnen afweren en om lekken sneller te kunnen ontdekken. Ze spreekt in dat verband over “gedragsmodellering”, “base-lining” en het “opsporen van abnormale activiteiten en communicatie via poorten en knooppunten in interne netwerken”. “De toepassing van dat soort methodes zal weliswaar een hoop ruis en verkeerde ‘hits’ opleveren, maar ze zijn een noodzakelijk kwaad gezien het niveau van de aanvallen,” aldus Litan.

Waarschuwing

Een andere deskundige, Jim Huguelet, denkt dat de software voor de aanval op Schnucks mogelijk speciaal is geschreven om dat specifieke computersysteem binnen te kunnen dringen. Want het duurde lang voordat het lek was opgespoord en voordat de beveiliging voldoende was opgevoerd. Huguelet gaat er daarom van uit dat dit soort aanvallen ook plaats kunnen vinden bij supermarktketens die groter zijn dan Schnuck Markets.

Zie ook:
– “Kassa’s doelwit van vSkimmer-botnet,” Security nl, 22 maart 2013.
– “Supermarkt onderzocht wegens opslag wachtwoorden,” Security nl, 23 augustus 2012.

Bronnen:
– “Supermarkt meldt diefstal 2,4 miljoen creditcardnummers,” Security nl, 16 april 2013.
– “Schnucks releases details of card issue as investigation nears end,” Schnuck Markets, 15 april 2013.
– “Schnucks supermarket chain struggled to find breach that exposed 2.4M cards, Companys experience highlights growing sophistication of attacks, analysts say,” Jaikumar Vijayan, CSO, 15 april, 2013.

(https://www.supermacht.nl/?p=1105)

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *