Cyberkriminelle verwendeten ein gefälschtes Formular, um Kundeninformationen von Fitness Depot zu stehlen

Die COVID-19-Pandemie bedeutet, dass viele Menschen viel Freizeit haben und eine Entschuldigung weniger, wenn sie nicht trainieren. Die Turnhallen sind geschlossen, aber es gibt viele Online-Shops, die Fitnessgeräte verkaufen und es den Menschen ermöglichen, während der Sperrung in Form zu bleiben. Eine Cyberkriminelle entdeckte dies und hatte keine Probleme, das nächste Ziel auszuwählen.

Fitness Depot ist ein großer kanadischer Sportartikelhändler, der laut seiner Website seit über 20 Jahren im Geschäft ist. Es gibt Dutzende von stationären Geschäften in ganz Kanada, aber verständlicherweise lag der Schwerpunkt in den letzten Monaten auf der E-Commerce-Seite des Geschäfts. Leider könnten Personen, die sich zwischen Februar und Mai für den Kauf von Fitnessgeräten im Online-Shop von Fitness Depot entschieden haben, ihre persönlichen Daten gestohlen haben.

Fitness Depot meldet einen Sicherheitsvorfall

Nichts auf der Website von Fitness Depot oder auf offiziellen Social-Media-Kanälen könnte Sie glauben lassen, dass der Einzelhändler von Hackern angegriffen wurde. Einige seiner Kunden haben jedoch kürzlich Benachrichtigungen über Datenschutzverletzungen in ihrem Posteingang erhalten, was darauf hindeutet, dass der Angriff auf Fitness Depot tatsächlich ziemlich schwerwiegend war.

Anscheinend haben Cyberkriminelle am 18. Februar erstmals die E-Commerce-Plattform von Fitness Depot kompromittiert. Sie haben Benutzer hochgeladen und auf ein "irreführendes" Checkout-Formular umgeleitet, in dem alle darauf eingegebenen Informationen wie Namen, E-Mail- und physische Adressen, Telefonnummern und Kreditkartendaten erfasst wurden.

Ursprünglich betraf die gefälschte Seite nur Kunden, die nach Hause geliefert wurden. Am 28. April aktualisierten die Gauner das Formular und richteten sich auch an Benutzer, die sich für die Abholoption im Geschäft entschieden haben. Als sie am 22. Mai endlich von dem Verstoß erfuhren, schlossen die IT-Spezialisten von Fitness Depot den Online-Shop vorübergehend und ergriffen Abhilfemaßnahmen. Sie "glauben" jetzt, dass der Zugang der Cyberkriminellen gekürzt wurde.

War es Magecart?

Der Angriff weist alle Merkmale einer klassischen Magecart- Operation auf, aber es ist unmöglich, mit absoluter Sicherheit zu sagen, was es war, da einige Teile des Puzzles fehlen. Insgesamt ist die Benachrichtigung von Fitness Depot über Datenschutzverletzungen ziemlich wenig aussagekräftig.

Wir wissen zum Beispiel nicht, wie viele Menschen von dem Verstoß betroffen sein könnten. Wir haben auch keine Ahnung, warum der Einzelhändler drei volle Monate gebraucht hat, um zu erfahren, dass jemand seine Website kompromittiert hat, und wir können nicht sicher sein, ob er den Opfern helfen will, indem er anbietet, für Schutzdienste gegen Identitätsdiebstahl zu bezahlen.

Fitness Depot scheint jedoch zu wissen, wer für die ganze Sache verantwortlich ist. Eine Untersuchung ergab offenbar, dass der ISP des Einzelhändlers es "versäumt hatte, die Antivirensoftware zu aktivieren". In der Benachrichtigung wird nicht angegeben, welche Art von Antivirensoftware den Online-Shop schützen soll, und es gibt keine Informationen darüber, warum ein Einzelhändler, der Hunderte von Artikeln an Hunderttausende von Benutzern verkauft, einen Datenverstoß erleiden musste, um dies herauszufinden dass seine Website nicht sicher war.