Lojas Kmart Atingidas por um Segundo Vazamento de Dados de Cartão de Crédito em Três Anos
Foi confirmada uma segunda violação do cartão de crédito e débito na Kmart em apenas três anos. O KrebsonSecurity reportou o incidente pela primeira vez após receber alertas de bancos e cooperativas de crédito menores. A Sears Holdings, empresa controladora da Kmart, lançou um documento oficial de perguntas e respostas com detalhes sobre a violação. Até agora, a empresa não divulgou quantas de suas 735 localizações Kmart foram afetadas ou por quanto tempo os invasores conseguiram manter o acesso aos sistemas violados.
Segundo o comunicado oficial "o Kmart foi vítima de atividade não autorizada de cartão de crédito após determinadas compras de clientes". Depois de tomar conhecimento da violação, a Sears contratou especialistas forenses terceirizados para realizar uma investigação completa dos sistemas da empresa. No decorrer da investigação, descobriu-se que uma forma "indetectável pelos atuais sistemas antivírus e controles de aplicativos" de código malicioso havia infectado os sistemas de dados de pagamento da loja Kmart. Sears afirmou que o código malicioso foi removido.
Nenhuma Informação Pessoal foi Roubada
Os clientes da Kmart ficaram seguros de que nenhuma informação de identificação pessoal, como nomes, números de previdência social, endereços, e-mails e datas de nascimento, foi obtida pelos atacantes. Note-se que certos números de cartão de crédito podem ter sido comprometidos durante a violação. O documento de perguntas frequentes divulgado afirma que "não há evidências de que os clientes da kmart.com ou da Sears tenham sido afetados". A empresa está trabalhando com agências federais de aplicação da lei, seus parceiros bancários e empresas de segurança externas para investigar o ataque.
A violação de informações atual se assemelha à de outubro de 2014. Naquela época, os registros do ponto de venda do Kmart eram atingidos por malware que roubava dados de cartão de crédito e débito. Em sua resposta oficial, a empresa declarou da mesma forma que o malware era indetectável pelos sistemas antimalware usados atualmente e que nenhuma informação de identificação pessoal havia sido realmente comprometida.
Nos dois casos, o objetivo dos hackers era roubar dados da conta armazenados na tira magnética dos cartões, informações que podem ser efetivamente usadas para a criação de clones falsificados dos cartões de crédito e débito.