美国连锁超市Wawa疑被黑，超3000万用户支付信息泄露

E安全1月31日讯，据外媒报道，本周有黑客组织在全美最大的互联网欺诈论坛Joker"s Stash上出售了超过3000万条支付卡用户的详细信息。据威胁情报公司Gemini Advisory的专家表示，被出售的信用卡数据可追溯到美国东海岸便利店连锁超市Wawa。

据悉，黑客在Joker "s Stash称将上传来自40多个州的3000万条美国持卡人，以及来自100多个不同国家的100多万条国际持卡人的数据信息，其中包括他们所在州、城市和邮政编码和地理位置等数据。

数据表示，Wawa在美国新泽西州和宾夕法尼亚州拥有最多的分店，但据披露的研究数据显示，目前支付卡信息的曝光率最高的是佛罗里达州的Wawa分店，其次是宾夕法尼亚州。其实，早在一个月前，研究团队就已经披露了Wawa的这次重大安全漏洞，该公司在此期间承认黑客在其销售系统上植入了恶意软件。Wawa相关负责人表示，该恶意软件收集了所有使用信用卡或借记卡在其便利店和加油站购买商品的用户信息。该公司表示，此次违规事件一共影响了其所有860家便利零售店，而且，该恶意软件是在公司系统中运行了数月之后才被发现的。

如此漫长的感染期和数百个不同地点的大规模入侵，此次Wawa漏洞已使犯罪集团积聚了大量的支付卡详细信息。Gemini Advisory的专家在描述此次Wawa漏洞违规行为的广度时表示，由于该违规行为可能影响了860多家商店，并可能暴露了3000万条客户的付款记录，因此，此次事件是继Home Depot在2014年泄露5000万客户数据的违规行为和Target在2013年泄露4000万套支付卡数据的违规行为之后最大的支付卡违规行为之一。

与此同时，Wawa 在本周一发布的新闻中表示，已经发现有黑客组织正在Joker"s Stash上出售客户的支付卡数据，而且犯罪者正在以每张卡平均17美元的价格出售美国发行的支付卡详细信息，同时，国际卡的数据则以每张卡210美元的较高价格出售。

针对信息出售可能带来的危险，Wawa公司表示已经提醒支付卡处理器系统，支付卡的相关银行和发卡机构加强欺诈监控活动，以帮助进一步保护被泄露用户的账户安全性。Wawa还补充表示，他们将继续与执法部门合作调查此次黑客行为。同时，Wawa表示，有一点值得庆幸，那就是泄露的用户信息只涉及支付卡卡号信息，不涉及卡的支付密码，信用卡CVV2号或其他个人信息。

虽然这一事件对Wawa的财务影响还没有统计结果，但从历史上看，这类事件会造成公司的巨额损失。以家得宝公司为例，该公司在调查和恢复成本上就损失了4,300万美元，并最终同意支付1950万美元的赔偿金给受影响的持卡人。

但是，有专家指出，对于可能受到黑客攻击影响的Wawa客户来说，有一个好消息，那就是此次出售的信息在Joker "s Stash网站上并不是很受欢迎。这可能是由于商家已经公开声明遭到了破坏，或者是安全研究人员已经迅速找到了补丁，这大大降低了黑客获取更多收益的可能性。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。