Fallas de seguridad en la tienda Forever 21 expone los datos bancarios sin cifrar de sus clientes

La tienda de ropa Forever 21 ha confirmado que descuidos en el cifrado de las transacciones de sus clientes en sus tiendas y outlets han resultado en la exposición de datos de las tarjetas de crédito de sus usuarios.

Los descubrimientos son fruto de una investigación que comenzó en noviembre, cuando una compañía externa alertó a Forever 21 sobre la vulnerabilidad en sus sistemas. Es así como se descubrió que la empresa había estado exponiendo sus sistemas a ataques de malware desde el 3 de abril hasta el 18 de noviembre de 2017. “En algunas tiendas, este incidente se dio por sólo unos días o por varias semanas, y en otras ocurrió por la mayor parte de este periodo de tiempo”, dijo la compañía. “Cada tienda Forever 21 tiene múltiples dispositivos de venta y, en la mayoría de los casos, sólo uno o unos pocos de estos dispositivos fueron afectados”.

La investigación que la compañía realizó con la ayuda de profesionales de seguridad informática externos reveló que los equipos afectados son los que se utilizaban para las ventas, los cuales estaban infectados con malware y los datos que manejaban se encontraban vulnerables porque los sistemas de cifrado que salvaguardaban estos equipos “no estaban siempre encendidos”.

El programa malicioso que aprovechó esta falla de seguridad se encargó de rastrear los registros de ventas almacenados en los equipos para conseguir información de los medios de pago de los clientes que incluía sus números de tarjeta de crédito, fechas de expiración y códigos internos de verificación. Forever 21 dijo que “en algunas ocasiones” el malware también consiguió los nombres de los titulares de las tarjetas.

Todas las tiendas Forever 21 tienen un sistema que registra las transacciones aceptadas y las autorizaciones que emite. Cuando el cifrado no estaba activado, los datos que los usuarios usaron para realizar sus pagos también se almacenaban en este sistema de registros.

Este mismo sistema es en el que se instaló el malware, lo que significa que el malware no sólo tuvo acceso a la información de los usuarios que hicieron transacciones en los equipos afectados entre abril y noviembre, sino que, si los registros tenían guardada información más antigua en sus bases de datos, los atacantes también pudieron tener acceso a estos datos sin cifrar.

La compañía tiene tiendas en 52 países, y las investigaciones están comenzando a concentrarse en  determinar si las tiendas fuera de los Estados Unidos también han sido afectadas por esta amenaza, ya que usan un sistema diferente para procesar los datos. Todavía no se ha confirmado al público cuántos clientes ni cuántas tiendas de las 800 que tiene alrededor del mundo han sido afectadas por la intrusión de seguridad. Lo que sí se ha asegurado es que los usuarios del sitio web que hicieron sus compras mediante forever21.com no corren ningún peligro.

Forever 21 está trabajando con procesadores de pagos, proveedores de equipos para ventas y profesionales de seguridad informática para abordar sus fallas de cifrado y “mejorar sus medidas de seguridad”. Mientras tanto, ha recomendado a sus clientes que estén atentos ante cualquier movimiento sospechoso en sus cuentas bancarias, ya que la información robada podría facilitar crímenes de robos de identidad.

Esta no es la primera vez que problemas en la seguridad informática de Forever 21 puso en manos de cibercriminales los datos de sus clientes. En 2008, la compañía informó que la información de casi 99.000 tarjetas de crédito se había expuesto en una serie de ataques de hackers que se produjo entre 2004 y 2007.

Fuentes

Forever 21 investigation reveals malware presence at some stores ZDNet

Forever 21 Payment Systems Infected With Malware for 7 Months Security Week

Forever 21 Found Malware and Encryption Disabled on its PoS Devices  Dark Reading