I clienti di Macy's iniziano a ricevere informazioni su come proteggere i propri account dopo una violazione dei dati

I sondaggi suggeriscono che, secondo gli utenti, le aziende sono responsabili della protezione delle informazioni personali delle persone e dovrebbero assumersi tutte le responsabilità dopo aver subito una violazione dei dati. A volte, tuttavia, le cose non sono così semplici. Ad esempio, l'anno scorso, alcuni dei clienti del rivenditore di abbigliamento Macy's avevano le loro informazioni personali compromesse dagli hacker, ma il negozio non era certo l'unica parte da incolpare. Allora, Macy è stato preso di mira da un attacco di riempimento delle credenziali e, come tutti sappiamo, un attacco di riempimento delle credenziali può funzionare solo se molti clienti riutilizzano le stesse vecchie password. Macy's non ha (e non dovrebbe avere) il controllo su come le persone gestiscono i propri dati di accesso, il che significa che non possono essere ritenuti responsabili quando si presentano le inevitabili conseguenze del riutilizzo di password dilaganti.

Sfortunatamente, il mese scorso, poco più di un anno dopo il primo attacco, Macy ha subito un secondo, e questa volta le cose sono un po 'diverse.

Macy's subisce un secondo attacco informatico

All'inizio di questa settimana è emersa una copia di una lettera di notifica di violazione dei dati, che ha rivelato che Macy's sta informando i suoi clienti di un secondo incidente di hacking. Il messaggio è stato apparentemente inviato la scorsa settimana e afferma che il 7 ottobre i criminali informatici sono riusciti a hackerare il sito Web di Macy e iniettare codice dannoso in due pagine: la pagina di pagamento e la pagina Portafoglio della sezione Il mio account.

La pagina di checkout è dove le persone inseriscono i dettagli della propria carta di credito (incluso il numero della carta, il codice CVV e la data di scadenza), e come avrete già intuito, l'obiettivo principale dello script iniettato era quello di raccogliere tutti quei dati e inviarli a un server controllato dagli aggressori. Dalla sezione Il mio account, gli hacker erano anche in grado di rubare nomi, indirizzi fisici e di posta elettronica e numeri di telefono.

Praticamente lo stesso tipo di dettagli sono stati rubati durante l'attacco di luglio 2018. La differenza è, tuttavia, che mentre il primo incidente può essere biasimato dalla scarsa igiene delle password degli utenti, la responsabilità del secondo incombe esclusivamente al rivenditore online.

Magecart era in fondo all'incidente

L'attacco portava tutte le caratteristiche di un'operazione Magecart fin dall'inizio, e sicuramente, dopo aver dato un'occhiata, gli esperti hanno concluso che questo era esattamente quello che era. Magecart, per quelli di voi che non lo sanno, non è una famiglia di malware. Non è nemmeno una squadra di hacker. Magecart è un nome collettivo utilizzato per le operazioni di scrematura delle carte di credito online che utilizzano un particolare set di strumenti e tecniche. La popolarità degli attacchi Magecart è cresciuta così tanto negli ultimi due anni, che questo tipo di scrematura è oggi considerata una delle maggiori minacce per le aziende di e-commerce.

Oleg Kolesnikov del Securonix Threat Research Lab ha dichiarato a The Register che Macy ha subito un tipico attacco Magecart. I file compromessi erano stati presi di mira in precedenti incidenti di questo tipo e persino il dominio Command & Control (C&C) era stato utilizzato dagli hacker Magecart.

Nonostante tutto, il team di sicurezza di Macy non è riuscito a notare l'intrusione iniziale e non ha attaccato l'attacco fino a una settimana dopo, il che significa che un bel po 'di carte di credito potrebbero essere state compromesse. Sfortunatamente, il numero esatto di utenti interessati rimane sconosciuto per ora.

La lettera di notifica della violazione dei dati non indica quante persone sono state vittime dell'attacco e l'incidente non è menzionato in un comunicato stampa o attraverso nessuno degli altri canali ufficiali. Questa probabilmente non è la decisione migliore considerando il numero di persone che potrebbero essere colpite dalla violazione.

Per cercare di illuminare il loro umore, Macy ha dichiarato nella sua notifica che i clienti interessati possono ricevere gratuitamente Experian servizi di protezione dai furti di identità per 12 mesi. Apparentemente, tuttavia, la gente non pensa che questo sia abbastanza. Dopo la notizia di martedì, le azioni del rivenditore hanno perso quasi l'11% del suo valore nel giro di un solo giorno.