Clientes da rede de restaurantes Applebee’s podem ter tido seus dados de cartões de crédito roubados em mais de 160 lojas franqueadas da marca.
O alerta foi feito pela própria operadora responsável pelas franquias, a RMH Franchise Holdings e confirma que todas as 167 lojas localizadas em 15 estados nos EUA foram afetados pelo ataque de um malware que tinha como alvo, dispositivos POS (Point of Sale), que incluem as tradicionais máquinas de cartões ou caixas registradoras que acoplam leitoras de cartões em seus sistemas.
Não há até o momento evidências de que outros países possam ter sido alvos do mesmo ataque. Os períodos de infecção variam de acordo com a localização, mas as primeiras infecções começaram em 23 de novembro de 2017 e duraram até 2 de janeiro em algumas unidades, diz a empresa, que não publicou uma estimativa do número de cartões de pagamento comprometidos pelos hackers, mas informa que nomes de clientes, números de cartão de crédito ou débito, datas de validade e códigos de verificação de cartões processados durante o período podem ter sido violados.
Ainda segundo a RMH, apenas clientes que utilizaram seus cartões presencialmente em uma das lojas afetadas, durante o período da infecção, podem ter tido seus dados roubados. A empresa orienta que os clientes acompanhem de perto suas faturas de pagamento e se perceberem alguma transação não autorizada, os clientes devem notificar imediatamente o banco que emitiu o cartão. As regras da rede do cartão de pagamento geralmente indicam que os titulares não são responsáveis por tais encargos.
Apesar de não haver qualquer indício de que lojas da rede brasileira tenham sido afetadas, muitos turistas podem ter passado por algum estabelecimento durante o período citado. A lista dos estados afetados são estes:
Alabama: 2
Arizona: 23
Flórida: 4
Illinois: 15
Indiana: 21
Kansas: 3
Kentucky: 14
Missouri: 2
Mississippi: 1
Nebraska: 11
Ohio: 44
Oklahoma: 6
Pensilvânia: 1
Texas: 15
Wyoming: 5
Recentemente foram divulgados casos similares de infecções de dispositivos de leitura de cartões de pagamento, como os que ocorreram com a rede de lojas Forever 21 e também com a rede de hotéis Hyatt, onde milhares de dados de cartões de clientes foram coletados por um determinado período de tempo, sem que despertasse qualquer suspeita nos administradores das empresas.
Para tentar reduzir os riscos de tais incidentes, temos como principal referência no mercado, o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento, também conhecido como PCI DSS, onde são exigidos uma série de requisitos de segurança que visam proteger aspectos relacionados a tecnologia, processos e pessoas. Atualmente no Brasil temos um forte trabalho de aderência a este padrão ocorrendo no setor de viagens e turismo, que se viu obrigado a atender uma resolução da principal associação ligada ao setor de transportes aéreos, a IATA, com o objetivo de reduzir o índice de fraudes, que vem causando grande prejuízos nos últimos anos.
Certamente novos setores da economia que transacionam dados de cartões de pagamento se virão obrigados em algum momento, a adotarem tais práticas de segurança, seja por meio de uma exigência legal, como uma regulamentação ou após a ocorrência de um grave prejuízo em suas operações.
Fontes consultadas: Info Security Magazine / RMH Franchise
Imagens: Wikipedia
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec