Macy's kunder begynder at modtage oplysninger om, hvordan de kan beskytte deres konti efter en dataovertrædelse

Undersøgelser antyder, at virksomhederne ifølge brugerne er ansvarlige for at beskytte folks personlige oplysninger og bør påtage sig alt ansvaret, efter at de er udsat for et dataovertrædelse. Nogle gange er tingene imidlertid ikke så enkle som det. For eksempel havde nogle af kunderne hos beklædningsforhandleren Macy's deres personlige oplysninger kompromitteret af hackere, men butikken var næppe den eneste skyld. Dengang blev Macy's målrettet mod et legitimationsudstoppningsangreb, og som vi alle ved, kan et legitimationsstopningsangreb kun fungere, hvis mange kunder genbruger de samme gamle adgangskoder. Macy's har ikke (og burde ikke) kontrollere, hvordan folk administrerer deres login-data, hvilket betyder, at de ikke kan holdes ansvarlige, når de uundgåelige konsekvenser af genbrug af adgangskode til adgangskode præsenterer sig selv.

Desværre sidste måned, lidt over et år efter det første angreb, led Macy's et andet, og denne gang er tingene lidt anderledes.

Macy's lider af et andet cyberangreb

Tidligere denne uge dukkede en kopi af et notifikationsbrev om dataovertrædelse op, som afslørede, at Macy's informerer sine kunder om en anden hackinghændelse. Beskeden blev tilsyneladende sendt i sidste uge, og den hedder, at 7. oktober lykkedes cyberkriminelle at hacke på Macy's websted og injicere ondsindet kode på to af siderne: kassesiden og tegnebogssiden i sektionen Min konto.

Kassen er her, hvor folk indtaster deres kreditkortoplysninger (inklusive kortnummer, CVV-kode og udløbsdato), og som du måske allerede har gættet, var det injicerede scripts hovedmål at skrabe alle disse data og sende dem til en serverstyret af angriberen. Fra afsnittet Min konto var hackerne også i stand til at stjæle navne, fysiske adresser og e-mail-adresser og telefonnumre.

Stort set nøjagtigt den samme slags detaljer blev stjålet under angrebet i juli 2018. Forskellen er imidlertid, at selv om den første hændelse kan bebrejdes brugernes dårlige adgangskodehygiejne, hviler ansvaret for den anden kun på onlineforhandleren.

Magecart var i bunden af hændelsen

Angrebet bar alle kendetegnene ved en Magecart-operation helt fra starten, og sikker nok, efter at have set et kig, konkluderede eksperterne, at det var nøjagtigt, hvad det var. Magecart, for dem af jer der ikke kender, er ikke en malware-familie. Det er heller ikke et hackingbesætning. Magecart er et kollektivt navn, der bruges til online skimming operationer med kreditkort, der anvender et bestemt sæt værktøjer og teknikker. Populariteten af Magecart-angreb voksede så meget i løbet af de sidste par år, at denne type skumning anses for at være en af de største trusler mod e-handelsvirksomheder i dag.

Oleg Kolesnikov fra Securonix Threat Research Lab fortalte The Register, at Macy's har lidt et typisk Magecart-angreb. De kompromitterede filer var blevet målrettet i tidligere hændelser af denne type, og endda domænet Command & Control (C&C) var blevet brugt af Magecart-hackere.

På trods af alt dette bemærkede Macy's sikkerhedsteam den første indtrængen, og de fandt ikke angrebet før en uge senere, hvilket betyder, at en hel del kreditkort muligvis er blevet kompromitteret. Desværre forbliver det nøjagtige antal berørte brugere ukendt i øjeblikket.

Underretningsbrevet om dataovertrædelse siger ikke, hvor mange mennesker, der blev offer for angrebet, og hændelsen er ikke nævnt i en pressemeddelelse eller gennem nogen af de andre officielle kanaler. Dette er sandsynligvis ikke den bedste beslutning i betragtning af antallet af mennesker, der kan blive påvirket af overtrædelsen.

For at forsøge at gøre deres stemning lysere, sagde Macy's i sin anmeldelse, at berørte kunder kan modtage tolv måneders identitetstyveristjenester fra Experian gratis. Tilsyneladende synes folk dog ikke, at dette er nok. Efter at nyheden brød på tirsdag, mistede detailhandlerens lager tæt på 11% af sin værdi i løbet af en enkelt dag.