Los cibercriminales utilizaron un formulario falso para robar información de los clientes de Fitness Depot

La pandemia de COVID-19 significa que muchas personas tienen mucho tiempo libre y una excusa menos para no hacer ejercicio. Los gimnasios están cerrados, pero hay muchas tiendas en línea que venden equipos de ejercicios y permiten a las personas mantenerse en forma durante el cierre. Una pandilla cibercriminal vio esto y no tuvo problemas para elegir su próximo objetivo.

Fitness Depot es un gran minorista canadiense de equipos deportivos que ha estado en el negocio por más de 20 años, según su sitio web. Cuenta con docenas de tiendas físicas en todo Canadá, pero es comprensible que, en los últimos meses, el enfoque se haya centrado en el lado del comercio electrónico. Desafortunadamente, las personas que decidieron comprar equipos de gimnasia en la tienda en línea de Fitness Depot entre febrero y mayo pudieron haber robado sus datos personales.

Fitness Depot informa un incidente de seguridad

Nada en el sitio web de Fitness Depot o en los canales oficiales de redes sociales podría llevarlo a creer que el minorista fue atacado por piratas informáticos. Algunos de sus clientes, sin embargo, recientemente comenzaron a recibir notificaciones de violación de datos en su bandeja de entrada, lo que sugiere que el ataque a Fitness Depot fue bastante grave.

Aparentemente, los ciberdelincuentes comprometieron por primera vez la plataforma de comercio electrónico de Fitness Depot el 18 de febrero. Cargaron y redirigieron a los usuarios a un formulario de pago "engañoso" que recogía toda la información ingresada, incluidos nombres, correos electrónicos y direcciones físicas, números de teléfono y detalles de tarjetas de crédito.

Inicialmente, la página falsa solo afectaba a los clientes de entrega a domicilio, pero el 28 de abril, los delincuentes actualizaron el formulario y comenzaron a apuntar a los usuarios que también optaron por la opción de recoger en la tienda. Cuando finalmente se enteraron de la violación el 22 de mayo, los especialistas de TI de Fitness Depot cerraron temporalmente la tienda en línea y tomaron medidas correctivas. Ahora "creen" que se ha cortado el acceso de los cibercriminales.

¿Fue Magecart?

El ataque tiene todas las características de una operación clásica de Magecart, pero es imposible decir con absoluta certeza lo que fue porque faltan algunas piezas del rompecabezas. En general, la notificación de violación de datos de Fitness Depot es bastante poco informativa.

No sabemos, por ejemplo, cuántas personas podrían haber sido afectadas por la violación. Tampoco tenemos idea de por qué el minorista tardó tres meses completos en enterarse de que alguien había comprometido su sitio web, y no podemos estar seguros de si planea ayudar a las víctimas ofreciéndoles pagar los servicios de protección contra el robo de identidad.

Sin embargo, Fitness Depot parece saber quién tiene la culpa de todo el asunto. Aparentemente, una investigación reveló que el ISP del minorista había "descuidado activar el software antivirus" en su cuenta. La notificación no dice qué tipo de software antivirus se supone que protege la tienda en línea, y no hay información sobre por qué un minorista que vende cientos de artículos a cientos de miles de usuarios tuvo que sufrir una violación de datos para averiguar que su sitio web no era seguro.