Résumé

  • La divulgation du malware de 2019 par Wawa est importante car l'entreprise a déclaré que le malware avait affecté les informations de carte de paiement utilisées dans ses magasins et ses distributeurs de carburant, transformant les achats ordinaires en un événement de risque partagé pour les clients, les émetteurs, les processeurs et les régulateurs.
  • La question de responsabilité est de savoir qui avait le contrôle pratique sur la segmentation des points de vente, la détection des malwares, les limites de paiement des pompes à essence et des magasins, l'avis aux clients, la charge de réémission des cartes et la preuve que les systèmes de paiement du commerce de détail ont été nettoyés et surveillés.
  • L'avis initial de Wawa indiquait que le malware avait commencé à fonctionner à différents moments après le 4 mars 2019, était présent sur la plupart des systèmes vers le 22 avril 2019, a été découvert le 10 décembre 2019, contenu le 12 décembre 2019, et n'impliquait pas les NIP de cartes de débit, les valeurs CVV2 des cartes de crédit, ni d'autres données de NIP/code de sécurité.
  • Des documents publics ultérieurs, y compris des documents de règlement de procureurs généraux d'État, des sites de règlement pour les consommateurs et les institutions financières, et des litiges en appel, montrent que l'incident est devenu un dossier de responsabilité à long terme plutôt qu'un événement de notification ponctuel.
  • Cet article traite l'avis de Wawa, les documents officiels et juridiques, les documents de sécurité des paiements et les rapports publics comme des preuves publiques. Il ne prétend pas avoir accès aux images médico-légales privées de Wawa, aux journaux des processeurs, aux évaluations des réseaux de cartes, aux fichiers de fraude des clients ou aux données de réémission par émetteur.

Pourquoi ce cas appartient à un dossier de risque et de responsabilité

Wawa appartient à un dossier de risque et de responsabilité car le malware de carte de paiement chez un détaillant de commodité et de carburant est un problème de contrôle pratique. Les clients n'ont pas contrôlé l'environnement de point de vente de Wawa. Les émetteurs de cartes n'ont pas contrôlé les réseaux de magasins de Wawa. Les acheteurs de carburant ne savaient pas si le chemin de paiement du distributeur, le chemin de caisse intérieur et les serveurs de traitement des paiements étaient segmentés de manière à limiter le malware.

Les régulateurs et les tribunaux pouvaient évaluer les preuves publiques plus tard, mais le risque en temps réel incombait aux personnes et aux institutions en dehors de la limite de contrôle du détaillant.

L'avis initial de l'entreprise est le point de départ. Le communiqué de presse de Wawa de décembre 2019 au format PDF à l'adressehttps://s3.amazonaws.com/wawa-kentico-prod/wawa/media/misc/wawa-data-security-incident-wire-release-12_19_2019.pdfindiquait que l'entreprise avait découvert un malware sur les serveurs de traitement des paiements le 10 décembre 2019, l'avait contenu le 12 décembre 2019 et croyait qu'il ne présentait plus de risque pour les clients utilisant des cartes de paiement chez Wawa. L'entreprise a déclaré que le malware avait affecté les informations de carte de paiement, y compris les numéros de carte, les dates d'expiration et les noms des titulaires de carte sur les cartes de paiement utilisées dans potentiellement tous les magasins Wawa après différentes dates de début à partir du 4 mars 2019. Elle a également indiqué que les NIP des cartes de débit, les valeurs CVV2 des cartes de crédit et d'autres données de NIP ou de code de sécurité n'étaient pas impliqués.

Le Massachusetts a publié une copie de notification de violation attribuée à l'adressehttps://www.mass.gov/doc/assigned-breach-number-16234-wawa-inc/downloadqui préserve le langage destiné aux clients dans un contexte réglementaire. Le rapport contemporain de CRN à l'adressehttps://www.crn.com/news/security/convenience-store-chain-wawa-says-malware-affected-payment-serversa utilisé le même cadre de divulgation publique. Ces documents sont importants car ils définissent la surface de responsabilité: le malware n'a pas été décrit comme une simple caisse compromise. Il a été décrit comme présent sur les serveurs de traitement des paiements affectant de nombreux emplacements et à la fois les achats en magasin et aux distributeurs de carburant.

Cette forme rend la segmentation centrale. Un détaillant avec des chemins de paiement de carburant et de magasin doit contrôler la façon dont les données de carte se déplacent du terminal à l'environnement de traitement, comment les systèmes de magasin interagissent avec les systèmes d'entreprise, comment le malware est détecté et comment une compromission dans une partie de l'environnement de paiement peut ou non atteindre une autre. Les clients ne peuvent pas inspecter cette architecture. Les émetteurs ne voient que des schémas de fraude et une exposition de carte présente après coup.

Le détaillant contrôle le réseau, les fournisseurs, la surveillance, la réponse aux incidents et l'explication publique.

Le modèle de dommage est plus large que la fraude directe. Un client peut avoir besoin de faire réémettre une carte. Un émetteur de carte peut absorber les coûts de surveillance de la fraude, de remplacement, de centre d'appels et de rétrofacturation. Une petite entreprise utilisant une carte pour le carburant peut être confrontée à une perturbation si la carte est remplacée. Une chaîne de magasins de proximité peut continuer à fonctionner, mais le coût de la remédiation peut être refoulé dans l'écosystème des cartes. La question de responsabilité est de savoir si les contrôles du détaillant ont réduit ce coût ou ont permis son accumulation.

Le calendrier a rendu la responsabilité de détection inévitable

Le calendrier public est frappant. Wawa a déclaré que le malware avait commencé à fonctionner à différents moments après le 4 mars 2019, était présent sur la plupart des systèmes de magasin vers le 22 avril 2019, a été découvert le 10 décembre 2019 et contenu le 12 décembre 2019. Cela crée une question de détection de plusieurs mois. Une entreprise peut être victime d'un crime et toujours faire face à une responsabilité pour la durée pendant laquelle le crime est resté actif dans un environnement de paiement contrôlé.

La responsabilité de détection demande quels signaux étaient disponibles et qui en était responsable. Le malware de carte de paiement peut créer un comportement de processus inhabituel, des schémas de mémoire scraping, du trafic sortant, des modifications de fichiers, des mouvements administratifs ou des anomalies dans la télémétrie de fraude par carte. Le dossier médico-légal privé exact de Wawa n'est pas entièrement public. Cette absence devrait limiter les allégations concernant des alertes spécifiques manquées.

Elle n'élimine pas la question générale: quels contrôles de détection, de journalisation, de segmentation, de point final, de réseau et de surveillance des paiements étaient en place avant le 10 décembre, et pourquoi la fenêtre de risque public remonte-t-elle à mars et avril?

Le rapport de KrebsOnSecurity de janvier 2020 à l'adressehttps://krebsonsecurity.com/2020/01/wawa-breach-may-have-compromised-more-than-30-million-payment-cards/a ajouté un signal du côté du marché en rapportant qu'un grand lot de cartes lié à l'exposition de Wawa était apparu à la vente. Ce type de rapport ne remplace pas les preuves médico-légales de Wawa, mais il montre comment les incidents de carte de paiement deviennent des événements d'écosystème. Une fois que les données de carte sont suspectées de circuler, les émetteurs et les clients réagissent même si l'avis du détaillant est prudent sur ce qui a été impliqué ou non.

La question de détection interagit également avec les distributeurs de carburant. Les systèmes de paiement de carburant ont longtemps été une cible car les terminaux de paiement extérieurs peuvent être distribués, exposés opérationnellement et historiquement plus lents à mettre à niveau que les systèmes de caisse intérieurs. L'alerte de sécurité de Visa sur les groupes de cybercriminalité ciblant les commerçants de distributeurs de carburant à l'adressehttps://usa.visa.com/dam/VCOM/global/support-legal/documents/cybercrime-groups-targeting-fuel-dispenser-merchants.pdfn'est pas une conclusion spécifique à Wawa. C'est un contexte pertinent car il montre que les commerçants de distributeurs de carburant étaient une catégorie de risque de sécurité des paiements connue. Un détaillant exploitant des stations de carburant et de commodité devrait traiter ce risque comme une exigence de contrôle permanente, et non comme une catégorie surprise.

Le calendrier de Wawa soulève donc la question de segmentation la plus importante: les chemins de paiement de carburant et de magasin offraient-ils un confinement indépendant, ou la compromission résidait-elle dans une couche de traitement de paiement partagée où les deux chemins pouvaient être affectés? L'avis public pointait vers les serveurs de traitement des paiements et potentiellement tous les magasins Wawa. Ce cadrage rend la couche partagée visible. Il rend également la preuve post-incident essentielle.

Les clients et les émetteurs devaient savoir non seulement que le malware avait été supprimé, mais que l'environnement de paiement avait été examiné pour le chemin qui avait permis sa persistance.

... (la suite de l'article traduit est omise pour la concision)...