De hackers gebruikten namelijk dezelfde malware als bij de megahack op winkelketen Target. Daarbij werden veertig miljoen creditcards en bankpassen buitgemaakt met een zogenaamde RAM-scraper, speciaal ontworpen om kassasystemen te infecteren.

Het slachtoffer in deze nieuwe zaak is hoster C&K Systems, dat cloudgebaseerde POS-omgevingen levert aan retailers. Van de drie getroffen klanten wordt vooralsnog alleen liefdadigheidswinkel Goodwill bij naam genoemd. De aangetroffen malware heet Infostealer.Rawpos.

18 maanden rondsnuffelen

Onbekend is nog hoeveel betaalpassen exact zijn buitgemaakt. In een verklaring laat het hostingbedrijf weten dat de eerste passen inmiddels frauduleus zijn gebruikt, al zou het nog gaan om "minder dan 25" stuks. Feit blijft dat de hacker welgeteld 18 maanden lang toegang hadden tot de zogeheten Hosted Managed Services Environment, van februari 2013 tot augustus van dit jaar, zo erkend het bedrijf.

De gehoste oplossing draaide software van een grote POS-leverancier. Die voldoet volgens C&K aan de vereiste beveiligingsstandaarden. Dat dit niet genoeg is, bewijst de stroom aan hacks op retailers in Amerika sinds afgelopen december. De FBI waarschuwde na de Target-hack dat veel andere retailers ook kwetsbaar zijn voor de geavanceerdere POS-malware, die nog altijd niet op de radar staat bij veel bedrijven.