WAWA: cuando un CEO explica cómo se le «chispoteó» la seguridad

Carta abierta del CEO de Wawa, Chris Gheysens, a los clientes de WAWA. 19 de diciembre de 2019 – AVISO DE INFRACCIÓN DE DATOS

Estimados clientes de Wawa:

En Wawa, las personas que entran por nuestras puertas todos los días no son solo clientes, ustedes son nuestros amigos y vecinos, y nada es más importante que honrar y proteger su confianza.

Hoy, siento mucho compartir con ustedes que Wawa ha experimentado un incidente de seguridad de datos. Nuestro equipo de seguridad de la información descubrió malware en los servidores de procesamiento de pagos de Wawa el 10 de diciembre de 2019 y lo contuvo antes del 12 de diciembre de 2019.

Este malware afectó la información de la tarjeta de pago de los clientes utilizada en todas las ubicaciones de Wawa que comienzan en diferentes momentos después del 4 de marzo de 2019 y hasta que fue contenido.

Si Usted usó su tarjeta de crédito o débito en WAWA desde Marzo al día de ayer, recuerde la cara de su CEO

Si Usted usó su tarjeta de crédito o débito en WAWA desde Marzo al día de ayer, recuerde la cara de su CEO

En este momento, creemos que este malware ya no representa un riesgo para los clientes de Wawa que usan tarjetas de pago en Wawa, y este malware nunca representó un riesgo para nuestros cajeros automáticos.

Quiero asegurarle que no será responsable de los cargos fraudulentos en sus tarjetas de pago relacionados con este incidente, como se describe en la información detallada a continuación.

Revise esta carta completa detenidamente para conocer los recursos que Wawa proporciona y los pasos que debe seguir ahora para proteger su información.

Pido disculpas profundamente a todos ustedes, nuestros amigos y vecinos, por este incidente.

Usted es mi principal prioridad y es de vital importancia para todos los casi 37,000 asociados en Wawa.

Tomamos muy en serio esta relación especial con usted y la protección de su información.

Les puedo asegurar que durante este proceso, todos en Wawa han seguido nuestros valores de larga data y han trabajado rápida y diligentemente para abordar este problema e informar a nuestros clientes lo más rápido posible.

¿Que pasó?

Según nuestra investigación hasta la fecha, entendemos que en diferentes momentos después del 4 de marzo de 2019, el malware comenzó a ejecutarse en los sistemas de procesamiento de pagos en la tienda en potencialmente todas las ubicaciones de Wawa.

Aunque las fechas pueden variar y algunas ubicaciones de Wawa pueden no haberse visto afectadas, este malware estuvo presente en la mayoría de los sistemas de la tienda aproximadamente el 22 de abril de 2019.

Nuestro equipo de seguridad de la información identificó este malware el 10 de diciembre de 2019 y el 12 de diciembre, 2019, habían bloqueado y contenido este malware.

También iniciamos de inmediato una investigación, notificamos a las autoridades policiales y a las compañías de tarjetas de pago, y contratamos a una firma forense externa líder para apoyar nuestros esfuerzos de respuesta.

Debido a los pasos inmediatos que tomamos después de descubrir este malware, creemos que a partir del 12 de diciembre de 2019,

¿Qué información estuvo involucrada?

Según nuestra investigación hasta la fecha, este malware afectó la información de la tarjeta de pago, incluidos los números de tarjeta de crédito y débito, las fechas de vencimiento y los nombres de los titulares de tarjetas en las tarjetas de pago utilizadas en todos los terminales de pago y dispensadores de combustible de Wawa que comiencen en diferentes momentos a partir 4 de marzo de 2019 y finaliza el 12 de diciembre de 2019.

La mayoría de las ubicaciones se vieron afectadas al 22 de abril de 2019, sin embargo, algunas ubicaciones pueden no haberse visto afectadas en absoluto. Este malware no ha accedido a ninguna otra información personal.

Los números PIN de la tarjeta de débito, los números CVV2 de la tarjeta de crédito (el código de seguridad de tres o cuatro dígitos impreso en la tarjeta), otros números PIN y la información de la licencia de conducir utilizada para verificar las compras con restricción de edad no se vieron afectados por este malware.

Si no usó una tarjeta de pago en un terminal de pago de Wawa en la tienda o en un dispensador de combustible durante el período de tiempo relevante, su información no se vio afectada por este malware.

En este momento, no tenemos conocimiento de ningún uso no autorizado de la información de la tarjeta de pago como resultado de este incidente.

Los cajeros automáticos en nuestras tiendas no estuvieron involucrados en este incidente.

Qué estamos haciendo

Tan pronto como descubrimos este malware el 10 de diciembre de 2019, tomamos medidas inmediatas para contenerlo y, para el 12 de diciembre de 2019, lo habíamos bloqueado y contenido.

Creemos que este malware ya no representa un riesgo para los clientes que usan tarjetas de pago en Wawa.

Como se indicó anteriormente, contratamos a una firma forense externa líder para llevar a cabo una investigación, lo que nos ha permitido proporcionar la información que ahora podemos compartir en esta carta.

También estamos trabajando con la policía para apoyar su investigación criminal en curso.

Continuamos tomando medidas para mejorar la seguridad de nuestros sistemas. También hemos organizado un centro de llamadas gratuitas (1-844-386-9559) para responder las preguntas de los clientes y ofrecer monitoreo de crédito y protección contra el robo de identidad sin cargo a cualquier persona cuya información pueda haber estado involucrada,

Lo que puede hacer

Los clientes cuya información puede haber estado involucrada deben considerar las siguientes recomendaciones, todas las cuales son buenas precauciones de seguridad de datos en general:

Regístrese para los servicios de protección de identidad. Hemos acordado con Experian proporcionar a los clientes potencialmente afectados un año de protección contra el robo de identidad y monitoreo de crédito sin cargo para usted. Visite el sitio web de Experian IdentityWorks para inscribirse:

https://www.experianidworks.com/credit o comuníquese con el equipo de atención al cliente de Experian al 1-844-386-9559 (de lunes a viernes, de 9:00 a.m. a 9:00 p.m., hora del Este) o el sábado entre las 11:00 a.m. y las 8:00 p.m., excepto los días festivos

Proporcione su código de activación: 4H2H3T9H6

Revise los estados de cuenta de su tarjeta de pago. Le recomendamos que permanezca atento al revisar los extractos de cuenta de su tarjeta de pago.

Si cree que hay un cargo no autorizado en su tarjeta de pago, notifique a la compañía correspondiente de la tarjeta de pago llamando al número que figura en el reverso de la tarjeta. Según la ley federal y las reglas de la compañía de tarjetas, los clientes que notifiquen a su compañía de tarjetas de pago de manera oportuna al descubrir cargos fraudulentos no serán responsables de esos cargos.

Solicite un informe de crédito. Si se inscribe en el servicio Experian (en el número de teléfono anterior) que ofrecemos, tendrá acceso a la actividad en su informe de crédito.

Además, si es residente de los EE. UU.

Según las leyes de los EE. UU., Tiene derecho a un informe de crédito gratuito por año de cada una de las tres agencias nacionales de informes de los consumidores.

Para solicitar su informe de crédito gratuito, visite www.annualcreditreport.com o llame sin cargo al 1-877-322-8228.

Revise la guía de referencia . La Guía de referencia a continuación proporciona recursos adicionales sobre la protección de la información personal.

 

Nota de la Redacción

Tal como le indicamos en el título de la nota, a WAWA se le chispoteó la seguridad, por responsabilidad exclusiva de su CEO, que no se tomó en serio la responsabilidad de velar por la privacidad y seguridad de sus clientes. Creo que sería redundante agregar algo a esta carta redactada por el CEO de WAWA.

Si Usted viajó a Estados Unidos, tenga la precaución de revisar la sustentabilidad de su Tarjeta, ya que este sujeto, no tuvo en cuenta que su inversión en seguridad era escasa.

Imagino que luego de esta carta, el CEO debe está revisando modelos de misivas de renuncia con dignidad.

 

Por Marcelo Lozano – General Publisher IT Connect Latam