I criminali informatici hanno utilizzato un modulo falso per rubare le informazioni sui clienti del deposito fitness

La pandemia di COVID-19 significa che molte persone hanno molto tempo libero e una scusa in meno per non allenarsi. Le palestre sono chiuse, ma ci sono molti negozi online che vendono attrezzature per il fitness e consentono alle persone di mantenersi in forma durante il blocco. Una banda di criminali informatici lo ha notato e non ha avuto problemi a scegliere il suo prossimo obiettivo.

Fitness Depot è un grande rivenditore di attrezzature sportive canadese che opera nel settore da oltre 20 anni, secondo il suo sito web. Ha decine di negozi di mattoni e malta in tutto il Canada, ma comprensibilmente, negli ultimi mesi, l'attenzione è stata focalizzata sul lato del commercio elettronico. Sfortunatamente, le persone che hanno deciso di acquistare attrezzature per il fitness dal negozio online di Fitness Depot tra febbraio e maggio avrebbero potuto essere rubate i loro dati personali.

Fitness Depot segnala un incidente di sicurezza

Nulla sul sito Web di Fitness Depot o sui canali di social media ufficiali potrebbe farti credere che il rivenditore sia stato preso di mira dagli hacker. Alcuni dei suoi clienti, tuttavia, hanno recentemente iniziato a ricevere notifiche di violazione dei dati nella loro posta in arrivo, il che suggerisce che l'attacco a Fitness Depot era in realtà piuttosto grave.

Apparentemente, i criminali informatici hanno per la prima volta compromesso la piattaforma di e-commerce di Fitness Depot il 18 febbraio. Hanno caricato e reindirizzato gli utenti a un modulo di checkout "fuorviante" che ha raccolto tutte le informazioni inserite su di esso, inclusi nomi, e-mail e indirizzi fisici, numeri di telefono e dettagli della carta di credito.

Inizialmente, la pagina falsa riguardava solo i clienti della consegna a domicilio, ma il 28 aprile i truffatori hanno aggiornato il modulo e hanno iniziato a prendere di mira gli utenti che hanno optato per l'opzione di ritiro in negozio. Quando alla fine hanno appreso della violazione il 22 maggio, gli specialisti IT di Fitness Depot hanno temporaneamente chiuso il negozio online e intrapreso azioni correttive. Ora "credono" che l'accesso dei criminali informatici sia stato tagliato.

Magecart?

L'attacco ha tutte le caratteristiche di una classica operazione Magecart, ma è impossibile dire con assoluta certezza cosa fosse perché mancano alcuni pezzi del puzzle. Nel complesso, la notifica di violazione dei dati di Fitness Depot è piuttosto disinformativa.

Non sappiamo, ad esempio, quante persone potrebbero essere state colpite dalla violazione. Inoltre, non abbiamo idea del motivo per cui il rivenditore ha impiegato tre mesi interi per scoprire che qualcuno aveva compromesso il suo sito Web e non possiamo essere sicuri che abbia intenzione di aiutare le vittime offrendo di pagare per i servizi di protezione dai furti di identità.

Fitness Depot sembra sapere chi è la colpa di tutto, però. Un'indagine apparentemente ha rivelato che l'ISP del rivenditore aveva "trascurato di attivare il software antivirus" sul suo account. La notifica non dice che tipo di software antivirus dovrebbe proteggere il negozio online e non ci sono informazioni sul perché un rivenditore che vende centinaia di articoli a centinaia di migliaia di utenti ha dovuto subire una violazione dei dati per scoprire che il suo sito Web non era sicuro.