Het bedrijf, Heartland Payment Systems uit Princeton in New Jersey, meldde het datalek dinsdag. De firma was eerder door creditcardbedrijven Visa en Mastercard gewaarschuwd voor verdachte activiteiten rond zijn verwerkte kaarttransacties. Vorige week ontdekte Heartland dat clandestiene software op het netwerk gegevens van alle afgehandelde creditcardtransacties onderschepte.

Wereldwijde operatie

Volgens Heartland-directeur Robert H.B. Baldwin Jr. leidt het incident inmiddels tot 'een wereldwijde operatie tegen internetfraude'. Het bedrijf werkt hiervoor nauw samen met de Amerikaanse autoriteiten en inlichtingendiensten.

Op de getroffen systemen komen maandelijks circa 100 miljoen transacties van credit- en debetcards langs. Heartland werkt voor in totaal 250.000 winkels en bedrijven. Zo'n veertig procent van de door Heartland verwerkte transacties is afkomstig van grote restaurantketens. Hoeveel kaartgegevens de malicieuze software precies heeft vergaard is nog onduidelijk.

In de VS zijn bedrijven wettelijk verplicht dit soort datalekken te melden. Heartland koos evenwel een curieuze dag om het incident, dat in elk geval vorige week al duidelijk was, te openbaren: die van de inauguratie van president Obama.

Meldplicht

Ook in Nederland zwelt de roep om een meldplicht voor dit soort data-incidenten aan. In Europees verband wordt ook aan regelgeving gewerkt die een dergelijke verplichting stelt aan telecom- en internetaanbieders.

De Raad van Ministers schrapte eind november de passage dat ook banken en webwinkels onder zo'n meldplicht voor datalekken zouden komen te vallen, tot onvrede van de Europese privacytoezichthouder Peter Hustinx.

'Grootste dataroof ooit'

Volgens de Washington Post zou het datalek bij Heartland een van de grootste in zijn soort zijn. Het bedrijf adviseert kaarthouders goed hun afschriften te controleren op verdachte afschrijvingen.

De grootste creditcard-dataroof tot nog toe is waarschijnlijk die bij de Amerikaanse winkelketen TJX geweest. Daar penetreerden hackers het draadloze netwerk en tapten zo maandenlang transactiegegevens af, van in totaal bijna 100 miljoen creditcards. Een van de hoofddaders bekende hiervoor afgelopen september schuld voor de rechtbank.