Landry’s, una cadena de restaurantes popular en los Estados Unidos, anunció un ataque de malware en sus sistemas de punto de venta (POS) que permitió a los ciberdelincuentes robar la información de la tarjeta de pago de los clientes.
Landry’s posee y opera más de 600 bares, restaurantes, hoteles, casinos, puntos de venta de alimentos y bebidas con más de 60 marcas diferentes, como Landry’s Seafood, Chart House, Saltgrass Steak House, Claim Jumper, Morton’s The Steakhouse, Mastro’s Restaurants y Rainforest Cafe.
Según la notificación de incumplimiento publicada esta semana, el malware fue diseñado para buscar y probablemente robar datos confidenciales de tarjetas de crédito de clientes, incluidos números de tarjetas de crédito, fechas de vencimiento, códigos de verificación y, en algunos casos, nombres de titulares de tarjetas.
El malware PoS infectó los terminales de punto de venta en todas las ubicaciones propiedad de Landry, pero, afortunadamente, debido a la tecnología de cifrado de extremo a extremo utilizada por la empresa, los atacantes no pudieron robar los datos de las tarjetas de pago de las tarjetas deslizadas en sus restaurantes.
Sin embargo, los puntos de venta de Landry también usan «sistemas de ingreso de pedidos con un lector de tarjetas adjunto para que los meseros ingresen los pedidos en la cocina y en el bar y pasen las tarjetas de recompensa de Landry’s Select Club», lo que permitió a los atacantes robar con éxito los datos de pago de los clientes «en raras circunstancias» cuando los camareros les pasaron tarjetas de pago por error.
La cadena de restaurantes no especuló cuántos clientes pueden haberse visto afectados, pero está «notificando a los clientes» que «en raras circunstancias, parece que los camareros han deslizado por error los dispositivos utilizados para ingresar a la cocina y las órdenes de barra, que son dispositivos diferentes a los las terminales de punto de venta utilizadas para el procesamiento de pagos «, dice la notificación de incumplimiento.
«El malware buscó datos de seguimiento (que a veces tienen el nombre del titular de la tarjeta además del número de tarjeta, la fecha de vencimiento y el código de verificación interno) leídos de una tarjeta de pago después de que se deslizara en los sistemas de entrada de pedidos. En algunos casos, el malware solo identificó la parte de la banda magnética que contenía la información de la tarjeta de pago sin el nombre del titular de la tarjeta”.
Según la compañía, el malware POS estuvo escaneando activamente sus sistemas entre el 13 de marzo de 2019 y el 17 de octubre de 2019 en busca de tarjetas magnéticas; y en algunos lugares, es posible que se haya instalado el 18 de enero de 2019.
«Durante la investigación, eliminamos el malware e implementamos medidas de seguridad mejoradas, y estamos brindando capacitación adicional al personal de servicio».
Por lo tanto, si usó su tarjeta de débito o crédito en cualquiera de los puntos de venta mencionados anteriormente el año pasado, se le recomienda que se mantenga alerta, controle los extractos de su tarjeta de pago en busca de cualquier actividad sospechosa e informe de inmediato a su banco y a la policía local, si fundar.
