Modeåterförsäljaren TK Maxx har avslöjat att hackare har stulit kreditkortsinformation för 45,6 miljoner av dess kunder i Storbritannien, USA och Kanada.
Företaget sa att hackaren hade tillgång till sina datacenter i Watford och Massachusetts och stulit detaljer om fyra års transaktioner fram till december förra året.
Kundernas namn, kortnummer och personuppgifter stals och har redan använts för bedrägliga transaktioner i USA, där sex personer åtalades förra veckan.
Två tredjedelar av de komprometterade korten, 30,6 miljoner, hade gått ut vid tidpunkten för säkerhetsintrånget, och ytterligare 3,8 miljoner hade krypterad data. Informationen från de återstående 11,2 miljonerna var dock lättillgänglig.
TK Maxx moderbolag, TJX, upptäckte intrånget strax före jul när det upptäckte mjukvara på sina datorer som inte borde ha varit där. Amerikanska myndigheter underrättades kort därefter, efter att intrånget hade bekräftats av säkerhetsexperter. När omfattningen av intrånget blev känt kontaktade TJX andra brottsbekämpande myndigheter i de drabbade länderna, inklusive Metropolitan Police.
Banker har tvingats återutge miljontals kreditkort och kritiserat företaget för svagheten i dess säkerhetssystem.
Jamie Cowper, en datasäkerhetsexpert för PGP Corporation, sa att nya standarder som Payment Card Industry Data Security Standard som träder i kraft i juni 2007 kommer att innebära att företag som misslyckas med att skydda kundinformation kan riskera att förlora sina kreditkortsfaciliteter helt och hållet.
”Detta är en skrämmande illustration av att när återförsäljarsystem hackas – även om det sker på andra sidan jorden – är kortuppgifterna för kunder i alla länder i fara på grund av hur företag delar och lagrar information globalt”, sa Cowper . ”Säkerhetsteknologier som kryptering kan avsevärt förenkla processen för att skydda information – men den senaste tidens ström av dataintrång i nyheterna tyder på att många företag fortfarande är långt ifrån att uppfylla denna och andra dataskyddsstandarder.
Carol Meyrowitz, TJX:s president och verkställande direktör, bad om ursäkt till TK Maxx kunder.
”Jag beklagar personligen alla svårigheter du kan uppleva som ett resultat av det obehöriga intrånget i våra datorsystem”, sa hon. ”Vi arbetar med ledande datorsäkerhetsföretag för att undersöka problemet och förbättra vår datorsäkerhet för att skydda våra kunders data. Vi avsätter betydande resurser för att utvärdera frågan. Med tanke på överträdelsens natur, storleken och den internationella omfattningen av vår verksamhet och komplexiteten i hur kreditkortstransaktioner behandlas, tar utvärderingen med nödvändighet tid.’
Företaget har ställt in ett brittiskt gratisnummer för förfrågningar: 0800 779015. Det sa att kunder bör granska sina kontoutdrag och om någon obehörig eller misstänkt kortanvändning upptäcks kontakta kortutgivaren eller banken omedelbart.
