UPS reconnaît que 51 magasins ont été attaqués par des programmes malveillants pendant cinq mois

La liste des entreprises qui ont été victimes en 2014 de programmes malveillants qui volent les données des cartes de crédit des clients compte un nouveau membre depuis cette semaine : UPS a annoncé que 51 de ses magasins avaient été victime "d’une intrusion de programmes malveillant de grande ampleur" au printemps de cette année.

La société a dévoilé cette attaque qui a touché des franchises d’UPS Store dans un  communiqué de presse publié mercredi sur le site de la société.

UPS affirme avoir reçu récemment un bulletin des autorités publiques relatif à un programme malveillant "qui n’était pas identifié par les logiciels antivirus actuels" et qu’elle avait alors confié la tâche d’examiner ses systèmes à une société de sécurité informatique. Ces travaux ont mis en évidence le programme malveillant sans nom qui, d’après UPS, pourrait toucher n’importe quel client qui a réalisé un paiement par carte de crédit ou de débit dans un de ses magasins au cours d’une certaine période.

Comme il faut s’y attendre dans ce genre d’incident, une partie, voire l’ensemble, des données des cartes de crédit, des adresses de messagerie électronique, des adresses physiques et des noms des utilisateurs a peut-être été exposé par cet incident.

Mercredi, Tim Davis, Président de The UPS Store, Inc. déclarait : "Je comprends que ce genre d’incident soit perturbant et génère de la frustration. Je tiens à présenter mes excuses aux clients qui ont été troublés par cette attaque."

Les utilisateurs ont été exposés à ce programme malveillant au moins depuis le 20 janvier jusqu’au 11 août, mais UPS précise que dans la plupart des emplacements, le programme malveillant s’est manifesté après le 26 mars.

Le communiqué de presse précise que le programme malveillant a été éliminé en date du 11 août 2011 et que les clients peuvent réaliser leurs achats en toute sécurité dans les magasins The UPS Store.

Les magasins concernés sont répartis dans 24 états et ne représentent qu’un pour cent du réseau de franchisés UPS qui compte 4,470 membres. Parmi les magasins touchés, certains se trouvaient en Caroline du Nord, au Nevada, au New Jersey, en Californie et en Géorgie. La liste complète, ainsi que les périodes au cours desquelles les utilisateurs ont été exposés au programme malveillant, est accessible  ici.

Comme dans les autres cas d’attaques similaires, UPS insiste sur le fait qu’elle ne détient aucune preuve de fraudes découlant de l’incident jusqu’à présent, mais elle propose néanmoins des services de protection de l’identité et de surveillance du crédit aux victimes.

Alors qu’UPS a été avare en informations sur "l’intrusion de programmes malveillant de grande ampleur" dont elle a été victime, on peut supposer, surtout après les attaques contre les terminaux de point de vente chez Target, Albertson’s, Neiman Marcus et Michael’s, que les systèmes d’UPS ont été ciblés de manière similaire.

Du mois chez Target, les attaquants avaient réussi à s’infiltrer dans les systèmes de la société,š à injecter le programme malveillant de RAM dans les processus et à capture les données des cartes de crédit avant leur chiffrement.

Quant à l’attaque de cette semaine contre Community Health System, elle est liée à une vulnérabilité Heartbleed, comme l’a indiqué Aviv Raff, directeur informatique et directeur des recherches chez Seculert. Il pointe toutefois les similitudes entre les deux événements. Les deux cas montrent la persistance des attaquants une fois qu’ils sont implantés leurs instruments d’attaque.

"Vu qu’UPS a reconnu en gros que les attaquants s’étaient promené dans ses systèmes sans aucune détection pendant 4 à 8 mois, il est temps que les entreprises adoptent des outils de sécurité capables de détecter les attaques non seulement en temps réel, mais plus important encore, au fil du temps" a déclaré Aviv Raff mercredi.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *