Piratas informáticos robaron los datos de tarjetas de crédito y débito de la cadena de tiendas de gas y convivencia, Wawa, con sede en Filadelfia, según reveló el incidente de violación de datos que afectó a miles de clientes de las 850 tiendas desde marzo de 2019.
Según un comunicado de prensa en el sitio web de la compañía, el 4 de marzo los atacantes instalaron malware en los servidores de punto de venta utilizados para procesar los pagos de los clientes.
Cuando el equipo de seguridad de Wawa descubrió el malware el 10 de diciembre, el malware ya había infectado los sistemas de procesamiento de pagos en la tienda en «potencialmente todas las ubicaciones de Wawa».
Eso significa que los atacantes posiblemente estaban robando la información de la tarjeta de pago de los clientes de Wawa hasta que el servidor eliminó completamente el malware el 12 de diciembre de 2019.
La compañía también informó que el malware estaba presente en la mayoría de los sistemas de punto de venta de las ubicaciones aproximadamente el 22 de abril de 2019, aunque algunas ubicaciones de Wawa pueden no haberse visto afectadas.
El malware logró recopilar información de tarjetas bancarias, incluyendo fechas de vencimiento, números de tarjeta, nombres de los clientes, todo en las terminales de pago en la tienda y en las bombas de gasolina entre el 4 de marzo de 2019 y el 12 de diciembre de 2019.
Según la compañía, los números PIN de las tarjetas de débito, los números CVV2 de las tarjetas de crédito y otros PIN no se vieron afectados por el malware.
Wawa también dejó en claro que el malware PoS nunca representó un riesgo para sus cajeros automáticos, y en el momento de la divulgación de la violación de datos, la compañía no tenía conocimiento de ningún uso no autorizado de la información de la tarjeta de pago como resultado de este incidente.
El equipo de seguridad de la información de la compañía contuvo completamente el malware dentro de los dos días posteriores a su descubrimiento, e inmediatamente inició una investigación involucrando a una firma forense externa líder para investigar el incidente y verificar el alcance de la violación.
Wawa también informó a la policía para ayudar su investigación criminal en curso y notificó a las compañías de tarjetas de pago acerca del incidente.
Wawa, que cuenta con más de 850 tiendas minoristas en Pensilvania, Nueva Jersey, Delaware, Maryland, Virginia, Florida y Washington DC, también ofrece protección gratuita contra el robo de identidad y monitoreo de crédito sin cargo a cualquier persona cuya información pueda haber sido comprometida.
«Pido disculpas profundamente a todos ustedes, nuestros amigos y vecinos, por este incidente. Usted es mi principal prioridad y es de vital importancia para todos los casi 37,000 asociados en Wawa. Nos tomamos muy en serio esta relación especial con usted y la protección de su información», dijo Chris Gheysens, CEO de Wawa.
