Macy's Kunden erhalten Informationen darüber, wie sie ihre Konten nach einem Datenverstoß schützen können

Macy's Magecart Attack

Umfragen zufolge sind Unternehmen nach Ansicht der Nutzer für den Schutz personenbezogener Daten verantwortlich und sollten die gesamte Verantwortung übernehmen, wenn sie einen Datenverstoß erleiden. Manchmal sind die Dinge jedoch nicht ganz so einfach. Zum Beispiel wurden im vergangenen Jahr bei einigen Kunden des Bekleidungshändlers Macy's die persönlichen Daten von Hackern kompromittiert, aber der Laden war kaum die einzige Partei, die daran schuld war. Damals war Macy's von einem Angriff zum Speichern von Anmeldeinformationen betroffen, und wie wir alle wissen, kann ein Angriff zum Speichern von Anmeldeinformationen nur funktionieren, wenn viele Kunden dieselben alten Kennwörter wiederverwenden. Macy's hat (und sollte) keine Kontrolle darüber, wie Benutzer ihre Anmeldedaten verwalten. Dies bedeutet, dass sie nicht zur Rechenschaft gezogen werden können, wenn sich die unvermeidlichen Folgen einer zügellosen Wiederverwendung von Passwörtern einstellen.

Leider hat Macy's letzten Monat, etwas mehr als ein Jahr nach dem ersten Angriff, einen zweiten erlitten, und diesmal sieht es ein bisschen anders aus.

Macy's erleidet einen zweiten Cyberangriff

Anfang dieser Woche tauchte eine Kopie eines Mitteilungsschreibens über Datenschutzverletzungen auf, aus dem hervorgeht, dass Macy's seine Kunden über einen zweiten Hacking-Vorfall informiert. Die Nachricht wurde anscheinend letzte Woche gesendet und besagt, dass es Cyberkriminellen am 7. Oktober gelungen ist, sich in Macys Website zu hacken und bösartigen Code in zwei der Seiten einzufügen: die Checkout-Seite und die Wallet-Seite des Abschnitts Mein Konto.

Auf der Checkout-Seite geben die Benutzer ihre Kreditkartendaten ein (einschließlich Kartennummer, CVV-Code und Ablaufdatum). Wie Sie vielleicht bereits vermutet haben, bestand das Hauptziel des injizierten Skripts darin, all diese Daten zu kratzen und sie an einen Server zu senden, der von einem Server kontrolliert wird von den Angreifern. Im Bereich "Mein Konto" konnten die Hacker auch Namen, physische Adressen, E-Mail-Adressen und Telefonnummern stehlen.

Ziemlich genau die gleichen Details wurden während des Angriffs im Juli 2018 gestohlen. Der Unterschied besteht jedoch darin, dass der erste Vorfall auf die schlechte Passworthygiene der Benutzer zurückzuführen ist, während die Verantwortung für den zweiten ausschließlich beim Online-Händler liegt.

Magecart war am Ende des Vorfalls

Der Angriff wies von Anfang an alle Merkmale einer Magecart-Operation auf, und die Experten gelangten nach genauer Betrachtung zu dem Schluss, dass dies genau das war, was es war. Magecart ist für diejenigen unter Ihnen, die es nicht wissen, keine Malware-Familie. Es ist auch keine Hacking-Crew. Magecart ist eine Sammelbezeichnung für Online-Kreditkarten-Skimming-Vorgänge, bei denen bestimmte Tools und Techniken zum Einsatz kommen. Die Popularität von Magecart-Angriffen hat in den letzten Jahren so stark zugenommen, dass diese Art des Skimming heutzutage als eine der größten Bedrohungen für E-Commerce-Unternehmen gilt.

Oleg Kolesnikov vom Securonix Threat Research Lab teilte The Register mit, dass Macy's einen typischen Magecart-Angriff erlitten habe. Die kompromittierten Dateien waren bereits in früheren Vorfällen dieser Art betroffen, und sogar die Command & Control-Domäne (C & C) wurde von Hackern von Magecart verwendet.

Trotz alledem bemerkte das Sicherheitsteam von Macy das erste Eindringen nicht und ergriff den Angriff erst eine Woche später, was bedeutet, dass möglicherweise einige Kreditkarten kompromittiert wurden. Leider ist die genaue Anzahl der betroffenen Benutzer vorerst nicht bekannt.

Im Benachrichtigungsschreiben zu Datenschutzverletzungen ist nicht angegeben, wie viele Personen Opfer des Angriffs geworden sind, und der Vorfall wird in keiner Pressemitteilung oder auf einem der anderen offiziellen Kanäle erwähnt. Dies ist wahrscheinlich nicht die beste Entscheidung in Anbetracht der Anzahl der Personen, die von dem Verstoß betroffen sein könnten.

Um die Stimmung aufzuhellen, teilte Macy's in seiner Benachrichtigung mit, dass betroffene Kunden 12 Monate lang kostenlos Identitätsdiebstahlschutzdienste von Experian erhalten können. Anscheinend glauben die Leute jedoch nicht, dass dies genug ist. Nachdem die Nachricht am Dienstag bekannt wurde, verlor die Aktie des Einzelhändlers innerhalb eines einzigen Tages fast 11% ihres Wertes.

November 21, 2019

Antworten

WICHTIG! Um fortfahren zu können, müssen Sie die folgende einfache Mathematik lösen.
Please leave these two fields as is:
Was ist 6 + 6 ?