167 restaurantes de Applebee’s afectados con Malware de Punto de Venta (POS)

Cualquiera que haya cenado en los restaurantes de Applebee’s en 15 estados, desde Alabama, Arizona hasta Texas y Wyoming, puede haber obtenido un acompañante gratis para su comida,  el robo de la información de la tarjeta de pago de su comida.

El 2 de Marzo, RMH Franchise Holdings advirtió que cada uno de los 167 restaurantes de Applebee’s que posee y opera en 15 estados sufrió una violación de datos en la que los sistemas de puntos de venta estaban infectados con malware diseñado para capturar información de las tarjetas de pago para cualquiera que cenara en el restaurante.

Los períodos de infección varían según la ubicación, pero las primeras infecciones comenzaron el 23 de noviembre de 2017, y ninguna parece haber durado más allá del 2 de enero, dice la compañía. No ha publicado una estimación de la cantidad de tarjetas de pago que los hackers han comprometido.

RMH dice que es la segunda mayor franquicia de Applebee’s y también «una de las empresas de restaurantes informales de más rápido crecimiento en Estados Unidos».

RMH descubrió la violación el 13 de febrero y «rápidamente tomó medidas para asegurarse de que había sido contenida», dice la compañía en un comunicado. «Además de contratar expertos en seguridad cibernética externos para ayudar con nuestra investigación, RMH también notificó a las autoridades sobre el incidente y continuará cooperando en su investigación. En el futuro, RMH continúa monitoreando de cerca sus sistemas y revisando sus medidas de seguridad para ayudar a evitar que algo como esto vuelva a suceder «.

Los nombres de los clientes, los números de tarjeta de crédito o débito, las fechas de caducidad de la tarjeta y los códigos de verificación de la tarjeta pueden haberse visto comprometidos. «Los pagos realizados en línea o usando dispositivos de mesa de pago propio no se vieron afectados por este incidente», dice la compañía.

La compañía dice que ha creado una línea de ayuda a la que los clientes pueden llamar para recibir más información sobre la infracción.

Restaurantes de Applebee’s: 167 infectados

La notificación de violación de datos de RMH incluye una lista de todas las ubicaciones afectadas por nombre y enumera el período de infección. Aquí hay un desglose de cuántos Applebee propiedad de RMH se vieron afectados en cada estado:

  • Alabama: 2
  • Arizona: 23
  • Florida: 4
  • Illinois: 15
  • Indiana: 21
  • Kansas: 3
  • Kentucky: 14
  • Missouri: 2
  • Mississippi: 1
  • Nebraska: 16
  • Ohio: 44
  • Oklahoma: 6
  • Pensilvania: 1
  • Texas: 15
  • Wyoming: 5

RMH dice que las infecciones de malware se han remediado y que es seguro volver a usar una tarjeta de pago en sus restaurantes Applebee’s.

La compañía ha recomendado que cualquier persona que haya cenado en uno de los restaurantes de Applebee’s que posee y opera esté pendiente de sus estados de cuenta bancarios y de tarjetas de crédito. «Si ven un cargo no autorizado, los invitados deben notificar inmediatamente al banco que emitió la tarjeta. Las reglas de la red de tarjetas de pago generalmente establecen que los titulares de tarjetas no son responsables de dichos cargos».

Los expertos en robo de identidad dicen que los emisores de tarjetas de crédito de los EE. UU. Deben reembolsar el monto total de los cargos fraudulentos, siempre y cuando los clientes reporten los cargos de manera oportuna. «Las tarjetas de crédito están mejor protegidas por la ley federal en cuanto a la cantidad de dinero que usted es responsable si se pierde o es robado, y la mayoría de las compañías extienden una política de cero responsabilidad a los clientes», según el Identity Theft Resource Center , una organización estadounidense sin fines de lucro que ayuda a las víctimas de violación de datos.

ITRC recomienda que, al menos cuando viajan, los consumidores de EE. UU. Nunca usen una tarjeta de débito para pagar nada, sobre todo porque cualquier fraude provocará que los fondos desaparezcan inmediatamente de una cuenta. «Es más difícil y le lleva mucho tiempo resolver compras fraudulentas hechas con tarjetas de débito», dice ITRC.

TAMBIEN TE PUEDE INTERESAR:  Brave descubre vigilancia masiva de ciudadanos del Reino Unido

Existen otras cadenas de restaurantes en incumplimiento

La notificación de incumplimiento de RMH sigue los pasos de un gran número de otras organizaciones del sector hotelero -incluidos numerosos hoteles y restaurantes- que han sufrido infecciones de malware POS, hasta la decisión de la compañía de emitir su notificación de incumplimiento un viernes, que es cuando las empresas intentan enterrar malas noticias.

Lista de 167 ubicaciones violadas

Fuente: RMH Franchise Holdings

RMH no respondió de inmediato a una solicitud de más información sobre la violación, incluyendo cómo se descubrió, cuántas tarjetas parecen haberse visto afectadas, cómo se infiltraron los atacantes, qué pasos específicos ha tomado Applebee’s para proteger sus sistemas y evitar una recurrencia , y si los restaurantes Applebee’s de RMH usan seguridad con tarjetas con chip y PIN y si eso ayudó a mitigar la brecha.

La violación de RMH significa que Applebee se une a la creciente lista de restaurantes que han sufrido infecciones de malware POS que han provocado el robo de datos de tarjetas de pago. La racha de infracciones relacionadas con los restaurantes parece haber sido constante desde mediados de 2014, cuando el restaurante chino de la cadena de restaurantes PF Chang advirtió que un ataque de malware POS había comprometido docenas de sus ubicaciones.

Desde entonces, muchos otros restaurantes, incluidos Arby’s, Chipotle , Jason’s Deli y Wendy’s, entre muchos otros, han sido víctimas de infecciones de malware POS.

Epidemia de incumplimiento con Tarjetas de Débito

Pero la epidemia de incumplimiento de las tarjetas de débitos no se centra solo en los restaurantes de EE. UU., Sino también en los minoristas y los atacantes de hoteles.

El problema se ve agravado por la facilidad de adquisición de malware para descifrar tarjetas diseñado para infectar el sistema POS (Puntos de Ventas), desde foros clandestinos de ciberdelincuencia.

Muchas organizaciones del sector de la hostelería y la venta al por menor también tienen prácticas deficientes de seguridad de la información, de acuerdo con el Informe de investigación de fallas de datos de 2017 de Verizon .

Algunos expertos en seguridad de la información recomiendan que cualquier organización que utilice terminales de punto de venta suponga que se han violado a menos que pueda demostrar de forma reiterada lo contrario. Pero muchas organizaciones no parecen tomarse en serio la amenaza hasta después de que se hayan violado sus sistemas.

Los atacantes, sin embargo, no solo están buscando sistemas POS instalados en restaurantes y otros lugares, sino también proveedores de sistemas POS, que podrían permitir a los piratas informáticos infectar muchos más sistemas y cosechar muchos más datos de tarjetas de pago a la vez.

En 2016, Oracle emitió una alerta sobre su hardware y software de punto de venta MICROS, utilizado en 330,000 sitios de clientes en 180 países, advirtiendo que había «detectado y tratado código malicioso en ciertos sistemas MICROS heredados». Y muchos más vendedores de puntos de venta también han sido atacados, dicen los expertos en seguridad.

Comience con lo básico

Los expertos en seguridad informática siempre han recomendado que los administradores corporativos de TI se aseguren de contar con defensas de seguridad básicas, como segmentar redes, restringir los derechos de nivel de administrador y nunca permitir que ningún dispositivo con una contraseña predeterminada se conecte a redes corporativas.

Pero la firma de seguridad cibernética Mandiant, parte de FireEye, en un informe emitido el año pasado, advirtió que demasiadas organizaciones aún no logran poner estas defensas de seguridad básicas, bien probadas en su lugar.

mandiant flat segment retail 2017Vista de una red minorista «plana» que no está segmentada. (Fuente: Mandiant )

La falta de segmentación en particular deja a las organizaciones que manejan la información de la tarjeta de pago en alto riesgo de ser violadas. «Desafortunadamente, la mayoría de las redes, incluidas las que tienen información de tarjetas de pago, no están segmentadas», dice Mandiant. «El compromiso de una única ubicación minorista a menudo lleva al compromiso del entorno PCI más grande, haciendo que los empleados orientados al cliente en estos entornos minoristas sean la fruta más fácil que buscan los atacantes»

Fuente: Bankinfosecurity

Felipe Argüello
Felipe Argüello

Felipe Argüello es el fundador de Infoteknico. Ingeniero con más de 30 años de experiencia trabajando en América Latina, Estados Unidos y Europa en las áreas de ingeniería, consulta técnica, proyectos, ventas y entrenamiento en soluciones de alta tecnología y seguridad electrónica.

Artículos: 867

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *