台灣電腦網路危機處理暨協調中心-TWCERT/CC

美國連鎖超商與加油站業者 Wawa 去年 12 月遭駭，超過三千萬顧客個資疑遭上網求售。

從美國東部起家，在全美國擁有 850 家分店的大型連鎖超商與加油站的 Wawa 集團，去年 12 月傳出其信用卡支付系統被長期駭侵；駭侵期間據報導長達九個月以上，被駭侵者竊取個資的受害顧客人數，恐怕多達三千萬人以上。

日前在一個著名的個資市集「Joker’s Stash」上，出現了疑似和這起駭侵事件有關的個資販賣案例；賣家稱這包個資來自四十個以上美國各州，超過三千萬人的信用卡資訊。

總部設在賓州的 Wawa 表示，該公司在去年12月10日發現系統遭駭，旗下的信用卡收銀機疑在3月4日左右遭植入惡意軟體，時間長達九個月以上；外洩的顧客信用卡資訊包括卡號、到期日、用戶姓名等。Wawa 說信用卡的 PIN 和卡片背面的三位安全碼並未外洩。

該公司表示已得知個資可能遭變賣一事，目前正和相關調查單位密切合作，進行事件調查中。

一家位於紐約的網路詐騙事件調查公司 Gemini Adversary 指出，該批資料目前只被賣家釋出一小部分，這是常見用來抬高資料賣價的手法。目前賣家僅釋出十萬筆資料，其中大多數信用卡資料屬於美國當地用戶在美國所屬銀行申辦的信用卡，但也有少數受害者來自拉丁美洲、歐洲或亞洲國家。

據 Gemini Adversary 估計，每張信用卡個資的售價，會依受害者國籍而有所不同；美國本土受害者的資料約為一張信用卡 17 美元，但海外受害者則高達每張信用卡 210 美元。

資安專家指出，被植入刷卡機的惡意軟體，目前僅能讀取信用卡磁條上未加密儲存的資訊，還無法存取晶片卡；但由於美國尚有大量信用卡僅具備磁條，許多銷售端點也沒有晶片信用卡的讀取能力，因而造成極大資安風險。
 

▼ 參考連結 ▼

◎ https://www.nbcphiladelphia.com/news/local/wawa-investigates-reports-of-attempts-to-sell-customer-info-during-data-breach/2281344/

◎ https://krebsonsecurity.com/2020/01/wawa-breach-may-have-compromised-more-than-30-million-payment-cards/

更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news