Берегите ваши пальчики, особенно в вендинговых автоматах
Avanti Markets, которая специализируется на установке вендинговых автоматов продуктов быстрого питания в бизнес центрах, сообщила о вероятности утечки персональных и биометрических данных, а также банковских карт некой части (какой – не называется) из более, чем полутора миллионов клиентов компании.
Четвёртого июля Avanti Markets поведала об обнаружении некой «продвинутой» вредоносной атаки против некоего числа вендинговых автоматов в одном из пяти тысяч микро-маркетов компании.
«По данным предварительного расследования, несмотря на то, что мы пока не идентифицировали вектор вторжения, похоже, что атакующие использовали некую вредоносную программу для получения неавторизованного доступа к персональным данным наших клиентов в некоторых вендинговых автоматах», — сказал в официальном заявлении президент Avanti Джон Рейли (John Reilly).
В заявлении также указывается, что по причине различий в конфигурациях автоматов, объём и состав украденных данных может варьироваться в зависимости от конкретной локации. «В некоторых автоматах персональные данные были скомпрометированы, а в некоторых нет», — добавил Рейли.
Компания не ответила редакции Threatpost на дополнительные вопросы о характере скомпрометированных данных. Вместе с тем, в заявлении содержится пояснение, что «не исключено, что были украдены имена, email адреса и биометрические данные клиентов, пользовавшихся опцией Market Card с биометрической проверкой».
Впрочем, остаётся неясно какие конкретно биометрические данные были ассоциированы с клиентскими аккаунтами. Скорее всего речь идёт об отпечатках пальцев, поскольку в официальном описании вендинговых автоматов Avanti указывается возможность оплаты с использованием fingerprint-сканера.
На сайте компании значится следующее: «Вы можете оплачивать ваши любимые напитки и еду одним касанием пальца!»
Специалисты по кибербезопасности многократно предупреждали, что совмещение отпечатков пальцев с персональными данными представляет собой большой риск – ведь в отличии от паролей отпечатки нельзя сменить. При этом их достаточно легко тиражировать – несколько лет назад немецкая ассоциация хакеров Chaos Computer Club продемонстрировала возможность клонирования отпечатков при помощи латексных трафаретов.
Вендинговые автоматы Avanti расположены в 46 штатах США и используются 1,6 миллионов людей. Компания также сообщила о передачи сведений о взломе в Федеральное бюро расследований и о закрытии приёма платежей в некоем количестве локаций. Также клиентам предлагается бесплатный сервис мониторинга пластиковых карт с целью исключения хищений денежных средств.