Sweaty Betty-klanten worden gewaarschuwd voor een 'geavanceerd cybersecurity-incident'

De afgelopen maanden is de naam 'Magecart' steeds vaker gebruikt door cybersecurity-experts. De term is eigenlijk een tijdje geleden bedacht en wordt nu gebruikt als een verzamelnaam voor de dreiging van kwaadaardige scripts die de creditcards van online shoppers tijdens het betalingsproces afromen.

Het merkwaardige aan Magecart is dat het geen aanval is die wordt uitgevoerd volgens een vooraf bepaalde lijst met stappen, en het gaat zelfs niet om het gebruik van een specifieke set tools. Bij sommige Magecart-aanvallen sluiten de hackers de website zelf aan en soms gebruiken ze een kwetsbare externe bibliotheek of plug-in om hun code op de betaalpagina uit te voeren. Het resultaat is echter altijd hetzelfde: de creditcardgegevens van een groot aantal nietsvermoedende klanten komen in handen van cybercriminelen. De aanvallen zijn vaak tamelijk moeilijk te detecteren, waardoor ze tamelijk effectief zijn, en de veelheid aan Magecart-gerelateerde incidenten die we de afgelopen maanden hebben gezien, laat zien dat hackers zich hiervan zeer bewust zijn. De Britse modewinkel Sweaty Betty is hun nieuwste doelwit.

Sweaty Betty werd geraakt door Magecart

Op dinsdag 19 november infiltreerden cybercriminelen de website van Sweaty Betty en injecteerden ze een creditcard-scraping-script dat de betalingsgegevens van klanten verzamelde, inclusief kaartnummers, CVV's en vervaldata. Daarnaast richtte de kwaadaardige code zich ook op namen, e-mails, wachtwoorden, factuuradressen en telefoonnummers. Een woordvoerder van de retailer vertelde Essential Retail dat klanten die hun bestellingen via de telefoon plaatsen, ook werden getroffen.

Volgens Sweaty Betty zijn alleen nieuwe betaalkaarten geraakt. Mensen die PayPal, Apple Pay of een kaart gebruiken die al in hun account is opgeslagen, hoeven zich geen zorgen te maken. De bewerking voor het skimmen van kaarten ging door tot 27 november, toen het IT-team van de verkoper de ongebruikelijke code opmerkte en deze verwijderde.

Sweaty Betty wil de zaak niet publiekelijk bespreken

Er is geen tekort aan mensen die boos zijn over de Magecart-aanval, wat helemaal niet verwonderlijk is. Zoals sommige slachtoffers opmerken, komt de feestdagen eraan, en dit is niet echt de perfecte tijd om ongeautoriseerde kosten te betwisten of om te gaan met geblokkeerde creditcards. Mensen zijn ook niet bijzonder blij met de manier waarop Sweaty Betty met de inbreuk omgaat, en helaas moeten we zeggen dat ze nogmaals een paar goede redenen hebben om chagrijnig te zijn.

Sweaty Betty is er tot nu toe niet in geslaagd het publiek te informeren hoeveel mensen mogelijk zijn getroffen door de Magecart-aanval. Het heeft ook niets gezegd over de manier waarop de boeven erin slaagden hun code in te voeren. Over het algemeen heeft de retailer resoluut terughoudend om details over de aanval met het publiek te delen. Sweaty Betty heeft wel e-mailmeldingen naar getroffen klanten gestuurd, maar officieel werd er niets aangekondigd. Toen klanten zich vervolgens zorgen maakten over sociale media om meer te weten te komen, kregen ze te horen dat ze alleen via privéberichten meer informatie zouden krijgen.

Dit doet Sweaty Betty niet echt goed. Mensen zijn begrijpelijkerwijs van streek over de aanval en het incident heeft ongetwijfeld een negatief effect op de reputatie van de winkelier. Een meer transparante onthulling van wat er is gebeurd en waarom zou hebben geholpen, althans tot op zekere hoogte, maar het management van Sweaty Betty heeft blijkbaar besloten dat proberen de zaken stil te houden een betere strategie is. We worstelen om te zien hoe dit in hun voordeel zal werken.