Dairy Queen und Kmart mussten zugeben, dass auch ihre Kassensysteme gehackt wurden. Die Eindringlinge sammeln die Daten von Plastikgeld. PINs seien aber nicht mitgeschnitten worden, heißt es.
Zwei große US-Ketten haben Ende der Woche mitgeteilt, dass ihre Zahlungsabwicklungssysteme nicht sicher waren. Sowohl bei dem Schnellrestaurant-Franchise Dairy Queen (DQ) als auch beim Warenhaus KMart haben Angreifer über längere Zeit Daten abgegriffen. Betroffen sind Kreditkarten, Debitkarten und ähnliches Plastikgeld aller Banken. PINs und Sozialversicherungsnummern sollen sie allerdings nicht erbeutet haben.
Kmart hat den Angriff eigenen Angaben zufolge am vergangenen Donnerstag entdeckt [1]. Eine nicht genannte Malware hat demnach seit Anfang September ihr Unwesen getrieben. Der Online-Shop sowie die zum selben Konzern gehörenden Sears- und Roebuck-Läden sollen nicht betroffen sein. Ansonsten hält sich KMart mit Auskünften zurück. Man sollte davon ausgehen, dass jede der über 1.200 Filialen einbezogen war.
Dairy Queen nennt das Kind beim Namen [2]: Die Zugangsdaten eines Dienstleisters seien kompromittiert worden. Über diesen Account sei dann die Malware Backoff installiert worden. Ähnlich waren die Täter bei der Kaufhauskette Target vorgegangen. Dort konnten sie eine Art Hausmeisterzugang [3] verwenden.
Kein Einzelfall
Betroffen sind knapp 400 der etwa 4.800 US-Filialen der verschiedenen Dairy-Queen-Marken, darunter auch Orange Julius. Wie aus der veröffentlichten Liste [4] hervorgeht, war die Malware von Anfang August bis Ende August oder Anfang September, in einem Fall in Florida bis Anfang Oktober aktiv. Die meisten DQ-Filialen werden von Franchise-Nehmern geführt.
Sowohl Kmart als auch DQ machen keine Angaben darüber, wie viele Bezahlkarten ins Visier der Malware gekommen sein könnten. Bei Target (USA) waren es bis zu 40 Millionen Datensätze von Kreditkarten und 70 Millionen Kundendatensätze gewesen, Home Depot [5] (USA und Kanada) sprach von bis zu 56 Millionen Karten.
Der Logistiker UPS, die Restaurantkette P.F. Chang’s [6], das Nobelwarenhaus Neiman Marcus [7], die Heimwerkerkette Michaels [8] und die Supervalu-Supermärkte sind weitere Beispiele. Insgesamt dürften mehr als 1.000 US-Firmen [9] unfreiwillig zur Datenschleuder geworden sein. Und bei der Bank JPMorgan Chase hatten sich Hacker dieses Jahr sogar Rootrechte auf 90 Servern verschafft. Damit konnten sie auf Daten von 76 Millionen Haushalten [10] und sieben Millionen kleiner Unternehmen zugreifen. (ds [11])