„Macy's“ klientai pradeda gauti informaciją apie tai, kaip apsaugoti savo paskyras po duomenų pažeidimo

Macy's Magecart Attack

Tyrimai rodo, kad, anot vartotojų, verslas yra atsakingas už žmonių asmeninės informacijos apsaugą ir, prisiimdamas duomenų pažeidimus, turėtų prisiimti visą atsakomybę. Tačiau kartais viskas nėra taip paprasta. Pavyzdžiui, praėjusiais metais kai kurių drabužių mažmeninės prekybos tinklo „Macy's“ klientų programinė įranga pakenkė asmeninei informacijai, tačiau parduotuvė vargu ar buvo kalta vienintelė šalis. Tuomet „Macy's“ buvo nukreipta į kredencialų įdaro ataką ir, kaip mes visi žinome, kredencialų įdaro ataka gali veikti tik tuo atveju, jei daugelis klientų pakartotinai naudoja tuos pačius senus slaptažodžius. „Macy“ neturi (ir neturėtų) kontroliuoti, kaip žmonės tvarko prisijungimo duomenis, o tai reiškia, kad ji negali būti laikoma atsakinga, kai patiriamos neišvengiamos pasikartojančio slaptažodžio pakartotinio naudojimo pasekmės.

Deja, praėjusį mėnesį, šiek tiek daugiau nei per metus po pirmosios atakos, Macy'as patyrė antrą, ir šį kartą viskas yra šiek tiek kitaip.

Macy patiria antrą kibernetinį puolimą

Anksčiau šią savaitę pasirodė pranešimo apie duomenų pažeidimą kopija, kuri atskleidė, kad „Macy's“ informuoja savo klientus apie antrą įsilaužimo atvejį. Pranešama, kad pranešimas buvo išsiųstas praėjusią savaitę, ir jame teigiama, kad spalio 7 dieną kibernetiniams nusikaltėliams pavyko įsilaužti į „Macy“ svetainę ir įleisti kenkėjišką kodą į du iš šių puslapių: patikros puslapį ir „Mano sąskaitos“ skyriaus „Piniginė“ puslapį.

Patikros puslapyje žmonės įveda savo kreditinės kortelės duomenis (įskaitant kortelės numerį, CVV kodą ir galiojimo datą). Kaip jau jūs jau spėjote atspėti, pagrindinis suleisto scenarijaus tikslas buvo nuskaityti visus tuos duomenis ir nusiųsti juos į serverį, kurį valdo užpuolikų. Iš skilties „Mano sąskaita“ įsilaužėliai taip pat galėjo pavogti vardus, fizinius ir el. Pašto adresus bei telefono numerius.

Beveik tokios pat detalės buvo pavogtos per 2018 m. Liepos mėn. Išpuolį. Skirtumas yra tas, kad nors pirmąjį įvykį galima kaltinti dėl blogos vartotojų higienos slaptažodžiais, atsakomybė už antrąjį yra vien tik internetiniame mažmenininke.

Magecartas buvo incidento pabaigoje

Užpuolimas nuo pat pradžių turėjo visas „Magecart“ operacijos savybes, ir, be abejo, apžiūrėję ekspertai padarė išvadą, kad būtent tai ir buvo. Tiems iš jūsų, kurie nežino, „Magecart“ nėra kenkėjiškų programų šeima. Tai taip pat nėra įsilaužėlių ekipažas. „Magecart“ yra bendras pavadinimas, naudojamas internetinėms kredito kortelių mažinimo operacijoms, kuriose naudojamas tam tikras įrankių ir metodų rinkinys. „Magecart“ atakų populiarumas per pastaruosius porą metų išaugo tiek, kad šiais laikais plačiai laikoma viena didžiausių grėsmių elektroninės prekybos įmonėms.

Olegas Kolesnikovas iš „Securonix Threat Research Lab“ „The Register“ sakė, kad „Macy“ ištiko tipišką „Magecart“ išpuolį.. Pavojingi failai buvo nukreipti į ankstesnius tokio tipo incidentus ir net „Command & Control“ (C&C) domeną naudojo „Magecart“ įsilaužėliai.

Nepaisant viso to, „Macy“ saugumo komanda nepastebėjo pradinio įsilaužimo ir jie užpuolė ataką tik po savaitės, o tai reiškia, kad nemažai kreditinių kortelių galėjo būti pažeistos. Deja, tikslus ligotų vartotojų skaičius kol kas nežinomas.

Pranešime apie duomenų pažeidimą nenurodyta, kiek žmonių nukentėjo nuo išpuolio, o įvykis nepaminėtas nei pranešime spaudai, nei per kitus oficialius kanalus. Tai turbūt nėra geriausias sprendimas atsižvelgiant į žmonių, kuriems pažeidimas gali turėti įtakos, skaičių.

Siekdami išryškinti jų nuotaiką, „Macy's“ pranešime teigė, kad nukentėję klientai gali nemokamai gauti 12 mėnesių asmens tapatybės vagysčių apsaugos paslaugas. Tačiau, matyt, žmonės nemano, kad to pakanka. Antradienį paskelbus naujienas, mažmeninės prekybos įmonės prekė per vieną dieną prarado beveik 11% savo vertės.

November 21, 2019
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.