Cyberprzestępcy wykorzystali fałszywy formularz do kradzieży informacji klientów Fitness Depot

Pandemia COVID-19 oznacza, że wiele osób ma dużo wolnego czasu i jedną wymówkę dla braku ćwiczeń. Siłownie są zamknięte, ale istnieje wiele sklepów internetowych, które sprzedają sprzęt fitness i pozwalają ludziom pozostać w formie podczas blokady. Cyberprzestępca zauważył to i nie miał problemów z wybraniem kolejnego celu.

Fitness Depot jest dużym kanadyjskim sprzedawcą sprzętu sportowego, który działa na rynku od ponad 20 lat, zgodnie z jego stroną internetową. Ma dziesiątki sklepów z cegłami i zaprawami w całej Kanadzie, ale, co zrozumiałe, w ciągu ostatnich kilku miesięcy skupiono się na e-commerce firmy. Niestety osoby, które zdecydowały się na zakup sprzętu fitness w sklepie internetowym Fitness Depot między lutym a majem, mogły zostać skradzione.

Fitness Depot zgłasza incydent bezpieczeństwa

Nic na stronie internetowej Fitness Depot ani oficjalnych kanałach społecznościowych nie może prowadzić do przekonania, że haker był celem detalisty. Jednak niektórzy z jego klientów zaczęli ostatnio otrzymywać powiadomienia o naruszeniu danych w skrzynce odbiorczej, co sugeruje, że atak na Fitness Depot był w rzeczywistości dość poważny.

Najwyraźniej cyberprzestępcy po raz pierwszy złamali platformę e-commerce Fitness Depot 18 lutego. Przesłali i przekierowali użytkowników do „mylącego” formularza kasy, w którym zebrano wszystkie wprowadzone na nim informacje, w tym nazwiska, adres e-mail i adresy fizyczne, numery telefonów i dane karty kredytowej.

Początkowo fałszywa strona dotyczyła tylko klientów z dostawą do domu, ale 28 kwietnia oszuści zaktualizowali formularz i zaczęli atakować użytkowników, którzy wybrali opcję odbioru w sklepie. Gdy 22 maja w końcu dowiedzieli się o naruszeniu, specjaliści IT Fitness Depot tymczasowo zamknęli sklep internetowy i podjęli działania naprawcze. Teraz „wierzą”, że dostęp cyberprzestępców został ograniczony.

Czy to był Magecart?

Atak ma wszystkie cechy klasycznej operacji Magecart, ale nie można z absolutną pewnością powiedzieć, co to było, ponieważ brakuje kilku kawałków układanki. Ogólnie rzecz biorąc, powiadomienie o naruszeniu danych przez Fitness Depot jest dość pozbawione informacji.

Nie wiemy na przykład, ile osób mogło zostać dotkniętych naruszeniem. Nie mamy również pojęcia, dlaczego detalista potrzebował trzech pełnych miesięcy, aby dowiedzieć się, że ktoś naruszył jego witrynę internetową, i nie jesteśmy pewni, czy planuje pomóc ofiarom, oferując zapłatę za usługi ochrony przed kradzieżą tożsamości.

Wydaje się jednak, że Fitness Depot wie, kto jest odpowiedzialny za to wszystko. Dochodzenie najwyraźniej ujawniło, że dostawca detaliczny „zaniedbał aktywację oprogramowania antywirusowego” na swoim koncie. Powiadomienie nie mówi, jaki rodzaj oprogramowania antywirusowego ma chronić sklep internetowy, i nie ma informacji, dlaczego sprzedawca sprzedający setki produktów setkom tysięcy użytkowników musiał ponieść naruszenie danych, aby dowiedzieć się, że jej strona internetowa nie była bezpieczna.