Les cybercriminels ont utilisé un faux formulaire pour voler les informations des clients de Fitness Depot

La pandémie de COVID-19 signifie que beaucoup de gens ont beaucoup de temps libre et une excuse de moins pour ne pas s'entraîner. Les gymnases sont fermés, mais il existe de nombreuses boutiques en ligne qui vendent des équipements de fitness et permettent aux gens de rester en forme pendant le verrouillage. Un gang de cybercriminels l'a repéré et n'a eu aucun problème à choisir sa prochaine cible.

Selon son site Web, Fitness Depot est un grand détaillant canadien d'équipements sportifs qui exerce ses activités depuis plus de 20 ans. Il a des dizaines de magasins de brique et de mortier à travers le Canada, mais naturellement, au cours des derniers mois, l'accent a été mis sur le côté du commerce électronique de l'entreprise. Malheureusement, les personnes qui ont décidé d'acheter des équipements de fitness dans la boutique en ligne de Fitness Depot entre février et mai ont pu se faire voler leurs données personnelles.

Fitness Depot signale un incident de sécurité

Rien sur le site Web de Fitness Depot ou sur les réseaux sociaux officiels ne pourrait vous faire croire que le détaillant a été ciblé par des pirates. Cependant, certains de ses clients ont récemment commencé à recevoir des notifications de violation de données dans leur boîte de réception, ce qui suggère que l'attaque contre Fitness Depot était en fait assez grave.

Apparemment, les cybercriminels ont compromis la plate-forme de commerce électronique de Fitness Depot le 18 février. Ils ont téléchargé et redirigé les utilisateurs vers un formulaire de paiement "trompeur" qui recueillait toutes les informations saisies, y compris les noms, adresses e-mail et physiques, numéros de téléphone et détails de la carte de crédit.

Initialement, la fausse page ne concernait que les clients de livraison à domicile, mais le 28 avril, les escrocs ont mis à jour le formulaire et ont également commencé à cibler les utilisateurs qui ont opté pour l'option de retrait en magasin. Lorsqu'ils ont finalement appris la brèche le 22 mai, les spécialistes informatiques de Fitness Depot ont temporairement fermé la boutique en ligne et ont pris des mesures correctives. Ils "croient" maintenant que l'accès des cybercriminels a été coupé.

Était-ce Magecart?

L'attaque présente toutes les caractéristiques d'une opération Magecart classique, mais il est impossible de dire avec une certitude absolue ce que c'était car il manque plusieurs pièces du puzzle. Dans l'ensemble, la notification de violation de données de Fitness Depot est assez peu informative.

Nous ne savons pas, par exemple, combien de personnes auraient pu être affectées par la violation. Nous ne savons pas non plus pourquoi il a fallu au détaillant trois mois complets pour apprendre que quelqu'un avait compromis son site Web, et nous ne pouvons pas être sûrs s'il prévoit d'aider les victimes en leur proposant de payer pour des services de protection contre le vol d'identité.

Fitness Depot semble cependant savoir qui est à blâmer pour tout cela. Une enquête a apparemment révélé que le FAI du détaillant avait "négligé d'activer le logiciel antivirus" sur son compte. La notification ne dit pas quel type de logiciel antivirus est censé protéger la boutique en ligne, et il n'y a aucune information sur les raisons pour lesquelles un détaillant vendant des centaines d'articles à des centaines de milliers d'utilisateurs a dû subir une violation de données afin de le découvrir. que son site Web n'était pas sécurisé.