Cyberatak atakuje klientów Macy's

Macy's Data Breach

2 lipca biuro prokuratora generalnego w New Hampshire otrzymało list od Macy's Inc., w którym ujawniono, że niektórzy klienci sprzedawcy detalicznego zostali zaatakowani przez cyberatak.

Kiedy to wszystko się stało?

Klienci, których dotyczy problem, mieli konta na macys.com i bloomingdales.com, a Macy po raz pierwszy dowiedziała się o włamaniu, gdy nietypowe operacje logowania potknęły się w systemach bezpieczeństwa firmy 11 czerwca. Po dalszym dochodzeniu ujawniono, że nieautoryzowana strona używała prawidłowych danych uwierzytelniających. aby uzyskać dostęp do klientów Macy przez około półtora miesiąca. List nie mówi, dlaczego pracownicy IT Macy nie zauważyli ataku wcześniej.

Jak dostali się hakerzy?

Pracownicy ochrony Macy uważają, że ich system nie został naruszony. Uważają, że oszuści ukradli kombinacje nazwy użytkownika i hasła z innego miejsca i należy powiedzieć, że chociaż nie wydaje się, aby żaden niezależny badacz to potwierdził lub zaprzeczył, jest to całkowicie możliwa teoria.

Powszechne ponowne użycie hasła, które widzimy każdego dnia oznacza, że często hakerzy nie muszą narażać bezpieczeństwa witryny bankowej, aby włamać się na konta bankowe użytkowników. Zamiast tego mogą po prostu ukraść hasła z małej, niejasnej witryny internetowej, która przechowuje dane uwierzytelniające ludzi w postaci zwykłego tekstu, a następnie wypróbować je na wielu różnych kontach internetowych. Atak nazywa się upychaniem referencji i niestety czasami jest bezwzględnie skuteczny.

Co ukradli hakerzy?

Z jakiegoś powodu liczba klientów, których dotyczy problem, nie została ujawniona. Charakter ujawnionych danych był jednak taki. Macy przyznał, że gdy już tam byli, hakerzy byli w stanie zrobić:

  • Nazwy
  • Adresy fizyczne
  • Adresy e-mail
  • Daty urodzenia
  • Numery kart kredytowych i daty ważności

Pismo z powiadomieniem o naruszeniu danych sprzedawcy detalicznego mody mówi, że jego system płatności nie przechowuje CVV ani numerów ubezpieczenia społecznego, ale jak wszyscy wiemy, istnieją strony internetowe, które nie wymagają CVV do przetwarzania płatności.

Wygląda na to, że oszuści nie byli zadowoleni z tego, co znaleźli. List do prokuratora generalnego stwierdza, że istnieją dowody wskazujące na drugi atak. Najwyraźniej hakerzy próbowali uzyskać dostęp do zaszyfrowanych danych karty kredytowej z własnego systemu Macy. Choć nieco niejasne, sformułowanie listu sugeruje, że próby się nie powiodły, a firma wskazuje również, że atak był wymierzony w karty własności, których nie można użyć poza Macy.

Co Macy zrobiła z atakiem?

Po zauważeniu podejrzanej aktywności związanej z logowaniem zespół IT firmy natychmiast podjął tymczasowe środki w celu zmniejszenia ryzyka, aw ciągu 24 godzin całkowicie powstrzymał atak. Dane finansowe z dotkniętych kont zostały usunięte, a same konta zostały zablokowane. W tej chwili, jeśli atak Cię dotyczy, nie możesz się zalogować, dopóki nie zmienisz hasła.

Następnie firma zajęła się pisaniem dość szczegółowego raportu o tym, co się wydarzyło, wraz z poradami na temat tego, co ludzie mogą zrobić, jeśli padną ofiarą ataku. Pismo Macy zachęca wszystkich użytkowników, których to dotyczy, do regularnego sprawdzania wyciągów bankowych i wyjaśnia, w jaki sposób mogą również zażądać rocznych raportów kredytowych od trzech głównych biur kredytowych. Firma zapewniła także ofiarom roczne usługi ochrony przed kradzieżą tożsamości za pośrednictwem AllClear ID za darmo. Ponieważ dane karty płatniczej zostały naruszone, użytkownicy mogą skontaktować się z wydawcami i poszukać najlepszych sposobów ochrony przed nieuczciwymi płatnościami.

Wszystko to jest oczywiście bardzo ważne, zwłaszcza gdy niektóre ujawnione informacje mogą prowadzić do znacznych strat finansowych. Najlepszą radą po takim ataku jest jednak: nie używaj ponownie swoich haseł.

November 21, 2019
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.