Los clientes de Macy's comienzan a recibir información sobre cómo proteger sus cuentas después de una violación de datos

Macy's Magecart Attack

Las encuestas sugieren que, según los usuarios, las empresas son responsables de proteger la información personal de las personas y deben asumir toda la responsabilidad después de sufrir una violación de datos. A veces, sin embargo, las cosas no son tan simples como eso. Por ejemplo, el año pasado, algunos de los clientes del minorista de ropa Macy's tuvieron su información personal comprometida por piratas informáticos, pero la tienda no fue la única culpable. En aquel entonces, Macy's fue blanco de un ataque de relleno de credenciales y, como todos sabemos, un ataque de relleno de credenciales solo puede funcionar si muchos clientes reutilizan las mismas contraseñas antiguas. Macy's no tiene (y no debería) tener control sobre cómo las personas administran sus datos de inicio de sesión, lo que significa que no se puede responsabilizar cuando se presentan las inevitables consecuencias de la reutilización de la contraseña desenfrenada.

Desafortunadamente, el mes pasado, un poco más de un año después del primer ataque, Macy's sufrió un segundo ataque, y esta vez, las cosas son un poco diferentes.

Macy's sufre un segundo ataque cibernético

A principios de esta semana, apareció una copia de una carta de notificación de violación de datos, que reveló que Macy's está informando a sus clientes de un segundo incidente de piratería. Aparentemente, el mensaje se envió la semana pasada y dice que el 7 de octubre, los ciberdelincuentes lograron piratear el sitio web de Macy e inyectar código malicioso en dos de las páginas: la página de pago y la página de Wallet de la sección Mi cuenta.

La página de pago es donde las personas ingresan los detalles de su tarjeta de crédito (incluido el número de tarjeta, el código CVV y la fecha de vencimiento), y como ya habrán adivinado, el objetivo principal del script inyectado era raspar todos esos datos y enviarlos a un servidor controlado por los atacantes. Desde la sección Mi cuenta, los piratas informáticos también pudieron robar nombres, direcciones físicas y de correo electrónico, y números de teléfono.

Casi exactamente el mismo tipo de detalles fueron robados durante el ataque de julio de 2018. Sin embargo, la diferencia es que, si bien el primer incidente puede atribuirse a la falta de seguridad de la contraseña de los usuarios, la responsabilidad del segundo recae exclusivamente en el minorista en línea.

Magecart estaba al final del incidente.

El ataque tenía todas las características de una operación Magecart desde el principio, y efectivamente, después de echar un vistazo, los expertos concluyeron que esto es exactamente lo que era. Magecart, para aquellos de ustedes que no saben, no es una familia de malware. Tampoco es un equipo de hackers. Magecart es un nombre colectivo utilizado para operaciones de descremado de tarjetas de crédito en línea que emplean un conjunto particular de herramientas y técnicas. La popularidad de los ataques de Magecart creció tanto en los últimos años, que este tipo de descremado es ampliamente considerado como una de las mayores amenazas para las empresas de comercio electrónico en la actualidad.

Oleg Kolesnikov del Laboratorio de Investigación de Amenazas Securonix le dijo a The Register que Macy's sufrió un ataque típico de Magecart. Los archivos comprometidos habían sido seleccionados en incidentes anteriores de este tipo, e incluso el dominio de Comando y Control (C&C) había sido utilizado por hackers de Magecart.

A pesar de todo esto, el equipo de seguridad de Macy no notó la intrusión inicial, y no detectaron el ataque hasta una semana después, lo que significa que algunas tarjetas de crédito podrían haber sido comprometidas. Desafortunadamente, el número exacto de usuarios afectados sigue siendo desconocido por ahora.

La carta de notificación de violación de datos no dice cuántas personas fueron víctimas del ataque, y el incidente no se menciona en un comunicado de prensa ni a través de ninguno de los otros canales oficiales. Probablemente esta no sea la mejor decisión teniendo en cuenta la cantidad de personas que podrían verse afectadas por la violación.

Para tratar de alegrar su estado de ánimo, Macy's dijo en su notificación que los clientes afectados pueden recibir 12 meses de servicios de protección contra robo de identidad de Experian de forma gratuita. Aparentemente, sin embargo, la gente no cree que esto sea suficiente. Después de la noticia del martes, las acciones del minorista perdieron cerca del 11% de su valor en cuestión de un solo día.

November 21, 2019

Deja una respuesta

¡IMPORTANTE! Para poder continuar, debe resolver las siguientes matemáticas simples.
Please leave these two fields as is:
¿Qué es 10 + 7?