Die US-amerikanische Buchhandelskette Barnes & Noble hat den Hack ihrer Kreditkartenterminals eingeräumt. Mitte September bemerkte das Unternehmen, dass Kreditkarteninformationen seiner Kunden geklaut wurden. Von den rund 700 Filialen waren insgesamt 63 Filialen betroffen, in denen jeweils ein Terminal geknackt wurde.
Wie die New York Times berichtet, hielt das Unternehmen auf Bitten des FBI Informationen über die Attacke bis zu dieser Woche zurück. Laut eines Briefes der Sicherheitsbehörde, die das Unternehmen zitiert, hätte die Veröffentlichung des Daten-Hacks auch bis zum 24. Dezember unterbleiben können.
Dem Times-Bericht zufolge müssen amerikanische Firmen Kunden über Datenlecks informieren, wenn ihre Namen in Kombination mit anderen vertraulichen Daten, wie Kreditkarteninformationen, geklaut werden. Allerdings gilt dies nicht für verschlüsselte Informationen: "So lange Unternehmen Kundendaten einer Basis-Verschlüsselung unterziehen, müssen sie den Kunden per Gesetz keine Datenlecks melden", heißt es in dem Artikel.
In Reaktion auf die Attacke hat Barnes & Nobles seine insgesamt 7000 Kartenterminals abgeschaltet. Kredit- und Bankkarten werden nun zum Bezahlen über die Kasse gescannt. Kunden von Barnes & Noble, die in einer der betroffenen 63 Filialen über Kartenterminals bezahlt haben, werden dazu angehalten ihre Pin zu ändern und ihr Konto auf unautorisierte Kontenbewegungen zu prüfen.
Interessant ist, dass die betroffenen Filialen über das ganze Land verteilt sind: New York City, San Diego, Miami, Chicago werden genannt. Das legt nahe, dass die Einbrecher die Terminals nicht vor Ort sondern unter Umständen übers Netz kompromittiert haben. Wie so etwas vor sich gehen könnte, zeigten die Sicherheitsexperten von SRLabs im Juli mit einer kritischen Sicherheitslücken im Artema Hybrid von Verifone, dem in Deutschland am weitesten verbreiteten Kartenterminal. Zum Typ der bei Barnes & Noble eingesetzten Terminals gibt es keine Angaben.
Auf unsere Nachfragen, ob es denn mittlerweile – immerhin mehr als halbes Jahr nachdem der Hersteller informiert wurde – ein Update für das Artema Hybrid gibt, antwortete das Zulassungsbüro der Deutschen Kreditwirtschaft lapidar: "Bedauerlicherweise können wir Ihnen keine Informationen bereitstellen", die E-Mail werde jedoch weitergeleitet. Auf eine Antwort des Herstellers warten wir noch. (kbe)
0 Kommentare:
Kommentar veröffentlichen