Cyberkriminelle brugte en falsk form til at stjæle information om kundernes fitnessdepot
COVID-19-pandemien betyder, at mange mennesker har meget fritid og en færre undskyldning for ikke at træne. Gymnastiksalerne er lukkede, men der er masser af online butikker, der sælger fitnessudstyr og giver folk mulighed for at holde sig i form under lukningen. En cyberkriminel bande opdagede dette og havde ingen problemer med at vælge sit næste mål.
Fitness Depot er en stor canadisk forhandler af sportsudstyr, der har været i branchen i over 20 år, ifølge sin hjemmeside. Det har snesevis af murstens- og mørteludtag i hele Canada, men forståeligt nok har fokus i de sidste par måneder været på e-handelssiden af virksomheden. Desværre kunne folk, der besluttede at købe fitnessudstyr fra Fitness Depots onlinebutik mellem februar og maj, have fået stjålet deres personlige data.
Fitness Depot rapporterer om en sikkerhedshændelse
Intet på Fitness Depots websted eller officielle sociale mediekanaler kan få dig til at tro, at forhandleren var målrettet af hackere. Nogle af dets kunder begyndte imidlertid for nylig at modtage underretninger om dataovertrædelse i deres indbakke, hvilket antyder, at angrebet på Fitness Depot faktisk var ret alvorligt.
Tilsyneladende kompromitterede cyberkriminelle Fitness Depots e-handelsplatform den 18. februar. De uploadede og omdirigerede brugere til en "vildledende" checkout-formular, der høste alle de oplysninger, der blev indtastet på den, inklusive navne, e-mail og fysiske adresser, telefonnumre og kreditkortoplysninger.
Oprindeligt påvirkede den falske side kun hjemmeleveringskunder, men den 28. april opdaterede skurkerne formen, og det begyndte at målrette mod brugere, der også har valgt indhentningsmuligheden i butikken. Da de endelig fik at vide om overtrædelsen den 22. maj, lukkede Fitness Depots it-specialister midlertidigt online-butikken og tog sanktioner. De "tror nu" på, at cyberkriminals adgang er blevet reduceret.
Var det Magecart?
Angrebet bærer alle kendetegnene ved en klassisk Magecart- operation, men det er umuligt at sige med absolut sikkerhed, hvad det var, fordi der mangler en hel del stykker af puslespillet. I det store og hele er Fitness Depots anmeldelse af dataovertrædelse temmelig uinformativ.
Vi ved for eksempel ikke, hvor mange mennesker der kunne have været påvirket af overtrædelsen. Vi har heller ingen idé om, hvorfor det tog detailhandleren tre hele måneder at få at vide, at nogen havde kompromitteret sit websted, og vi kan ikke være sikker på, om det planlægger at hjælpe ofrene ved at tilbyde at betale for identitetstyveri-tjenester.
Fitness Depot synes dog at vide, hvem der har skylden for det hele. En undersøgelse afslørede tilsyneladende, at forhandlerens internetudbyder "havde forsømt at aktivere antivirus-softwaren" på sin konto. Underretningen siger ikke, hvilken slags antivirussoftware der skal beskytte onlinebutikken, og der er ingen oplysninger om, hvorfor en forhandler, der sælger hundreder af varer til hundreder af tusinder af brugere, måtte lide en dataovertrædelse for at finde ud af at dens hjemmeside ikke var sikker.
