Hospitality nel centro del mirino (di nuovo): Oracle Micros la vittima

Questa volta è una soluzione ben precisa ad essere bersaglio del malware, Oracle Micros, prodotto diffuso e verticale per il mondo Hospitality e Ristorazione.

In un blog di Trend Micro del 5 Giugno scorso viene resa pubblica la scoperta di una variante di un virus destinato ad estrapolare informazioni dai sistemi PoS. In particolare questa volta è una soluzione ben precisa ad essere bersaglio del malware, Oracle Micros, prodotto diffuso e verticale per il mondo Hospitality e Ristorazione.

Il malware, battezzato MalumPOS è specificamente costruito per acquisire dati dal computer infetto, tra cui numeri di carte di credito nel momento in cui queste vengono strisciate, ed è in grado quindi di sottrarre i di carta e del titolare.

Il malware è anche studiato appositamente per evadere le misure difensive imposte dal solo sistema antivirus locale, rendendo questi – da solo – poco efficace o del tutto inefficace di prevenire la minaccia.

In un contesto in cui si applica il regolamento PCI-DSS, un’infezione potrebbe far ritornare alla mente il caso Target che, a ridosso di Novembre e Dicembre 2013, è stata colpita da un virus simile e che ha subito un furto di quasi 70 milioni di numeri di carte di credito e di debito. Le implicazioni di un simile contagio sono di ampio raggio: dal danno di immagine, alla credibilità, passando dalle sanzioni da parte dei circuiti di pagamento.

Le strutture che hanno deciso di perseguire il percorso di adeguamento alla conformità PCI-DSS, potrebbe essere un buon momento per verificare lo stato dell’arte della propria struttura attraverso un audit interno (che comunque dovrebbe essere periodicamente effettuato).

Quelle strutture che non hanno ancora adeguato i propri sistemi e/o che si trovano in casa con una soluzione in grado di salvare in formato elettronico dati PII (Personally Identifying Information) come numeri di carta di credito e dati dei titolari dovrebbero sottoporsi ad un audit della propria struttura per comprendere quanto sono esposte al rischio di una simile circostanza.

Maggiori informazioni sui servizi di assessment in ambito di soluzioni Watchguard o in materia di protezione dei dati dei titolari di carta in conformità al PCI-DSS, in particolare per le strutture di Hospitality possono essere trovate a questo link.