Weitere US-Ketten gestehen Hack ihrer Zahlungssysteme

Dairy Queen und Kmart mussten zugeben, dass auch ihre Kassensysteme gehackt wurden. Die Eindringlinge sammeln die Daten von Plastikgeld. PINs seien aber nicht mitgeschnitten worden, heißt es.

In Pocket speichern vorlesen Druckansicht 332 Kommentare lesen
Lesezeit: 2 Min.

Zwei große US-Ketten haben Ende der Woche mitgeteilt, dass ihre Zahlungsabwicklungssysteme nicht sicher waren. Sowohl bei dem Schnellrestaurant-Franchise Dairy Queen (DQ) als auch beim Warenhaus KMart haben Angreifer über längere Zeit Daten abgegriffen. Betroffen sind Kreditkarten, Debitkarten und ähnliches Plastikgeld aller Banken. PINs und Sozialversicherungsnummern sollen sie allerdings nicht erbeutet haben.

Kmart weist darauf hin, dass viele Kunden bar bezahlt hätten.

(Bild: Paul Vlaar, leicht bearbeitet von Daniel AJ Sokolov CC-BY-SA 2.5)

Kmart hat den Angriff eigenen Angaben zufolge am vergangenen Donnerstag entdeckt. Eine nicht genannte Malware hat demnach seit Anfang September ihr Unwesen getrieben. Der Online-Shop sowie die zum selben Konzern gehörenden Sears- und Roebuck-Läden sollen nicht betroffen sein. Ansonsten hält sich KMart mit Auskünften zurück. Man sollte davon ausgehen, dass jede der über 1.200 Filialen einbezogen war.

Dairy Queen nennt das Kind beim Namen: Die Zugangsdaten eines Dienstleisters seien kompromittiert worden. Über diesen Account sei dann die Malware Backoff installiert worden. Ähnlich waren die Täter bei der Kaufhauskette Target vorgegangen. Dort konnten sie eine Art Hausmeisterzugang verwenden.

Betroffen sind knapp 400 der etwa 4.800 US-Filialen der verschiedenen Dairy-Queen-Marken, darunter auch Orange Julius. Wie aus der veröffentlichten Liste hervorgeht, war die Malware von Anfang August bis Ende August oder Anfang September, in einem Fall in Florida bis Anfang Oktober aktiv. Die meisten DQ-Filialen werden von Franchise-Nehmern geführt.

Sowohl Kmart als auch DQ machen keine Angaben darüber, wie viele Bezahlkarten ins Visier der Malware gekommen sein könnten. Bei Target (USA) waren es bis zu 40 Millionen Datensätze von Kreditkarten und 70 Millionen Kundendatensätze gewesen, Home Depot (USA und Kanada) sprach von bis zu 56 Millionen Karten.

Der Logistiker UPS, die Restaurantkette P.F. Chang's, das Nobelwarenhaus Neiman Marcus, die Heimwerkerkette Michaels und die Supervalu-Supermärkte sind weitere Beispiele. Insgesamt dürften mehr als 1.000 US-Firmen unfreiwillig zur Datenschleuder geworden sein. Und bei der Bank JPMorgan Chase hatten sich Hacker dieses Jahr sogar Rootrechte auf 90 Servern verschafft. Damit konnten sie auf Daten von 76 Millionen Haushalten und sieben Millionen kleiner Unternehmen zugreifen. (ds)