Eerder meenden experts nog dat er bij creditcardverwerker Heartland gegevens van zo'n 100 miljoen creditcards waren gestolen. Nu blijkt uit rechtbankdocumenten dat 'de grootste datadiefstal ooit' nog veel groter is. Bovendien is de hacker die hierachter zit dezelfde als de datadief van een monsterkraak uit 2007.

Meesterdief

De zogeheten TJX-hacker Albert 'Segvec' Gonzalez is nu, samen met twee anderen, formeel aangeklaagd door het Amerikaanse ministerie van Justitie voor de Heartland-creditcardroof. Gonzalez was in 2007 al verantwoordelijk voor een dataroof bij kledingwinkelketen TJX, waarbij ook andere bedrijven zijn beroofd waaronder kantoorbenodigdhedenwinkel OfficeMax en restaurantketen Dave & Busters.

Eind 2008 hebben twee van de uitvoerende hackers al schuld bekend. Gonzalez was de leider van de TJX-inbraak, die vóór Heartland te boek stond als de grootste datadiefstal ooit. De rechtszaak daarover moet nog beginnen.

Mogelijk nog meer

Justitie voert nu een breed onderzoek uit naar de activiteiten van Gonzalez. Die tophacker heeft mogelijk nog meer digitale inbraken op zijn naam staan. Hij is een voormalige informant van de Secret Service. "Wij zien niet grote aantallen hackers die in staat zijn dit te doen. Het gaat om een selecte groep. Er is zeer geraffineerd te werk gegaan bij deze hacks", zegt assistent-openbaar aanklager Erez Liebermann tegen ict-magazine Wired.

SQL-injection

Volgens het Amerikaanse security-adviersbureau Securoris is de inbraak zelf echter gepleegd met relatief normale middelen; injectie van kwaadaardige SQL-code in databases, zoals Microsofts SQL Server. Daar zijn diverse, redelijk eenvoudige tegenmaatregelen voor te nemen.

Vervolgens hebben Gonzalez en zijn handlangers wel geavanceerde en op maat gemaakte malware ingezet. Die hebben de daadwerkelijke creditcardtransacties 'afgeluisterd' en die gegevens naar buiten doorgegeven. Daarbij zijn die tools onder de radar gebleven voor eventueel aanwezige antimalwaresystemen bij Heartland en de andere getroffen bedrijven.

Ketens

Bij de Heartland-kraak begin dit jaar zijn ook meerdere andere bedrijven getroffen: supermarktketens Hannaford Brothers en 7-Eleven, en twee anoniem gebleven Amerikaanse winkelketens. Dit blijkt uit de openbare rechtbankdocumenten, die Wired publiceert.

Heartland verwerkt de creditcardbetalingen voor in totaal 250.000 winkels en bedrijven, waaronder veel restaurantketens. In februari zijn al de eerste arrestaties verricht.