メイシーズの顧客は、データ侵害後にアカウントを保護する方法に関する情報の受信を開始します
調査によると、ユーザーによると、企業は人々の個人情報を保護する責任があり、データ侵害を受けた後はすべての責任を負う必要があります。ただし、場合によっては、物事はそれほど単純ではありません。たとえば、昨年、アパレル小売業者Macy'sの顧客の一部は、ハッカーによって個人情報が侵害されましたが、その店だけが責任を負うことはほとんどありませんでした。当時、メイシーズはクレデンシャルスタッフィング攻撃の標的にされていました。誰もが知っているように、クレデンシャルスタッフィング攻撃は、多くの顧客が同じ古いパスワードを再利用する場合にのみ機能します。メイシーズは、人々がログインデータを管理する方法を制御していません(そしてすべきではありません)。
残念ながら、先月、最初の攻撃から1年強で、メイシーズは2番目の攻撃を受けました。今回は、状況が少し異なります。
メイシーズは二度目のサイバー攻撃に苦しむ
今週の初めに、データ侵害の通知書のコピーが表面化され、メイシーズが顧客に2回目のハッキング事件を通知していることが明らかになりました。メッセージは先週送信されたようで、10月7日にサイバー犯罪者はメイシーのWebサイトをハッキングし、マイアカウントセクションのチェックアウトページとウォレットページの2つのページに悪意のあるコードを挿入したと述べています。
チェックアウトページでは、ユーザーがクレジットカードの詳細(カード番号、CVVコード、有効期限など)を入力します。既にお気づきかもしれませんが、挿入されたスクリプトの主な目標は、すべてのデータをスクレイプしてサーバー制御に送信することでした攻撃者によって。ハッカーは、[マイアカウント]セクションから、名前、物理アドレス、電子メールアドレス、電話番号を盗むこともできました。
2018年7月の攻撃では、まったく同じ種類の詳細が盗まれました。ただし、違いは、最初のインシデントはユーザーのパスワードの衛生状態が悪いことのせいにすることができますが、2番目のインシデントの責任はオンライン小売業者のみにあることです。
Magecartは事件の最下部にありました
この攻撃は、最初からMagecart操作のすべての特徴を担っていたので、十分に確認した後、専門家はこれがまさにそれであると結論付けました。 Magecartは、知らない人にとってはマルウェアファミリーではありません。ハッキングクルーでもありません。 Magecartは、特定のツールとテクニックのセットを使用するオンラインクレジットカードスキミング操作に使用される総称です。 Magecart攻撃の人気はここ数年で非常に高まったため、この種のスキミングは、最近のeコマースビジネスにとって最大の脅威の1つであると広く考えられています。
Securonix Threat Research LabのOleg Kolesnikovは、メイシーズが典型的なMagecart攻撃を受けたことをThe Registerに伝えました. 侵害されたファイルは、このタイプの以前のインシデントで標的にされており、MagecartハッカーによってCommand&Control(C&C)ドメインさえ使用されていました。
これにもかかわらず、メイシーのセキュリティチームは最初の侵入に気付かず、1週間後まで攻撃をキャッチしませんでした。つまり、かなりの数のクレジットカードが侵害された可能性があります。残念ながら、影響を受けるユーザーの正確な数は今のところ不明のままです。
データ侵害通知書には、攻撃の犠牲になった人の数は記載されておらず、事件はプレスリリースや他の公式チャンネルでは言及されていません。これはおそらく、侵害の影響を受ける可能性のある人々の数を考慮すると、最良の決定ではありません。
気分を明るくしようとするために、メイシーズはその通知で、影響を受けた顧客はExperianから12か月分の個人情報盗難防止サービスを無料で受けることができると述べました。どうやら、しかし、人々はこれで十分だとは思わない。火曜日にニュースが配信された後、小売業者の在庫は1日のうちにその価値の11%近くを失いました。