Cybercriminelen gebruikten een vals formulier om de informatie van klanten van Fitness Depot te stelen

Door de pandemie van COVID-19 hebben veel mensen veel vrije tijd en een excuus minder om niet te sporten. De sportscholen zijn gesloten, maar er zijn tal van online winkels die fitnessapparatuur verkopen en mensen in staat stellen in vorm te blijven tijdens de afsluiting. Een cybercriminele bende zag dit en had geen problemen om het volgende doelwit te kiezen.

Fitness Depot is een grote Canadese detailhandelaar in sportartikelen die volgens de website al meer dan 20 jaar actief is. Het heeft tientallen fysieke winkels in heel Canada, maar het is begrijpelijk dat de afgelopen maanden de focus op de e-commerce-kant van het bedrijf lag. Helaas konden mensen die besloten tussen februari en mei fitnessapparatuur te kopen in de online winkel van Fitness Depot hun persoonlijke gegevens gestolen hebben.

Fitness Depot meldt een beveiligingsincident

Niets op de website van Fitness Depot of officiële socialemediakanalen zou je kunnen doen geloven dat de retailer het doelwit was van hackers. Een aantal van haar klanten ontving echter onlangs meldingen van datalekken in hun inbox, wat suggereert dat de aanval op Fitness Depot eigenlijk behoorlijk ernstig was.

Blijkbaar hebben cybercriminelen op 18 februari voor het eerst het e-commerceplatform van Fitness Depot gecompromitteerd. Ze hebben gebruikers geüpload en omgeleid naar een "misleidend" afrekenformulier dat alle daarin verzamelde informatie heeft verzameld, inclusief namen, e-mailadressen en fysieke adressen, telefoonnummers en creditcardgegevens.

Aanvankelijk had de neppagina alleen betrekking op klanten die thuisbezorgd waren, maar op 28 april werkten de oplichters het formulier bij en richtten ze zich op gebruikers die ook voor de ophaaloptie in de winkel hebben gekozen. Toen ze op 22 mei eindelijk van de schending vernamen, sloten de IT-specialisten van Fitness Depot de online winkel tijdelijk en ondernamen herstelmaatregelen. Ze "geloven" nu dat de toegang van de cybercriminelen is afgesneden.

Was het Magecart?

De aanval heeft alle kenmerken van een klassieke Magecart- operatie, maar het is onmogelijk om met absolute zekerheid te zeggen wat het was omdat er nogal wat puzzelstukjes ontbreken. Over het geheel genomen is de melding van datalek van Fitness Depot behoorlijk weinig informatief.

We weten bijvoorbeeld niet hoeveel mensen mogelijk door de inbreuk zijn getroffen. We hebben ook geen idee waarom de winkelier drie volle maanden nodig had om te vernemen dat iemand zijn website had gecompromitteerd, en we kunnen niet zeker weten of hij van plan is slachtoffers te helpen door aan te bieden om te betalen voor identiteitsdiefstalbeveiliging.

Fitness Depot lijkt echter te weten wie de schuldige is van de hele zaak. Uit een onderzoek bleek blijkbaar dat de ISP van de detailhandelaar "had nagelaten de antivirussoftware te activeren" voor zijn rekening. In de melding staat niet wat voor soort antivirussoftware de online winkel zou moeten beschermen, en er is geen informatie over waarom een detailhandelaar die honderden artikelen aan honderdduizenden gebruikers verkocht, een datalek moest ondergaan om erachter te komen dat zijn website niet veilig was.