Macy's sine kunder begynner å motta informasjon om hvordan de kan beskytte kontoene deres etter et dataovertredelse
Undersøkelser antyder at i henhold til brukere er virksomheter ansvarlige for å beskytte folks personlige informasjon og bør ta alt ansvaret etter at de har lidd et datainnbrudd. Noen ganger er ting imidlertid ikke så enkle som det. I fjor hadde for eksempel noen av kundene til klærforhandleren Macy's deres personlige informasjon kompromittert av hackere, men butikken var neppe den eneste skylden. Da var Macy's målrettet av et legitimasjonsstoppningsangrep, og som vi alle vet, kan et legitimasjonsstoppningsangrep bare fungere hvis mange kunder gjenbruker de samme gamle passordene. Macy's har ikke (og burde ikke) kontroll over hvordan folk administrerer påloggingsdataene sine, noe som betyr at de ikke kan stilles til ansvar når de uunngåelige konsekvensene av gjenbruk av passord igjen presenterer seg.
Dessverre, forrige måned, et drøyt år etter det første angrepet, led Macy's et nytt, og denne gangen er ting litt annerledes.
Macy's lider av et annet cyberattack
Tidligere denne uken dukket det opp en kopi av et varslingsbrev om datainnbrudd, som avslørte at Macy's informerer kundene om en annen hackinghendelse. Meldingen ble tilsynelatende sendt i forrige uke, og den heter at 7. oktober klarte cyberkriminelle å hacke seg inn på Masys nettsted og injisere ondsinnet kode på to av sidene: kassesiden og lommebok-siden i delen Min konto.
Kassen siden er der folk oppgir kredittkortinformasjonen sin (inkludert kortnummer, CVV-kode og utløpsdato), og som du kanskje allerede har gjettet, var det injiserte skriptets hovedmål å skrape alle dataene og sende dem til en serverkontrollert av angriperne. Fra delen Min konto kunne hackerne også stjele navn, fysiske adresser og e-postadresser og telefonnumre.
Stort sett nøyaktig samme type detaljer ble stjålet under angrepet i juli 2018. Forskjellen er imidlertid at selv om den første hendelsen kan klandres på brukernes dårlige passordhygiene, hviler ansvaret for den andre utelukkende hos nettforhandleren.
Magecart var i bunnen av hendelsen
Angrepet bar alle kjennetegnene ved en Magecart-operasjon helt fra starten, og helt sikkert, etter å ha tatt en titt, konkluderte ekspertene med at dette var akkurat det det var. Magecart, for de av dere som ikke vet, er ikke en skadelig familie. Det er ikke noe hackingmannskap. Magecart er et samlenavn som brukes til skimmingoperasjoner med kredittkort som bruker et bestemt sett med verktøy og teknikker. Populariteten til Magecart-angrep vokste så mye de siste par årene at denne typen skimming anses for å være en av de største truslene mot e-handelsbedrifter i dag.
Oleg Kolesnikov fra Securonix Threat Research Lab fortalte The Register at Macy's fikk et typisk Magecart-angrep. De kompromitterte filene hadde blitt målrettet i tidligere hendelser av denne typen, og til og med Command & Control (C&C) -domenet hadde blitt brukt av Magecart-hackere.
Til tross for alt dette klarte ikke Macy's sikkerhetsteam å merke den første inntrengingen, og de fikk ikke angrepet før en uke senere, noe som betyr at ganske mange kredittkort kan ha blitt kompromittert. Dessverre er det eksakte antallet berørte brukere ukjent for tiden.
Varslingsbrevet om dataovertredelse sier ikke hvor mange som ble offer for angrepet, og hendelsen er ikke nevnt i en pressemelding eller gjennom noen av de andre offisielle kanalene. Dette er sannsynligvis ikke den beste avgjørelsen med tanke på antall personer som kan bli berørt av bruddet.
For å prøve å lyse opp humøret, sa Macy's i varselet at berørte kunder kan motta tolv måneders identitetstyveritjenester fra Experian gratis. Tilsynelatende synes folk imidlertid ikke at dette er nok. Etter at nyheten brøt tirsdag, mistet detaljistens aksje nær 11% av sin verdi i løpet av en dag.
