Klienci Macy's zaczynają otrzymywać informacje o tym, jak chronić swoje konta po naruszeniu danych
Ankiety sugerują, że według użytkowników firmy są odpowiedzialne za ochronę danych osobowych i powinny ponosić całą odpowiedzialność po naruszeniu danych. Czasami jednak rzeczy nie są tak proste. Na przykład w zeszłym roku niektórzy klienci Macy's ujawnili swoje dane osobowe przez hakerów, ale sklep nie był jedynym winnym. W tamtym czasie atak Macy's został napadnięty na fałszowanie danych uwierzytelniających i jak wszyscy wiemy, atak fałszowania danych uwierzytelniających może działać tylko wtedy, gdy wielu klientów ponownie użyje tych samych starych haseł. Macy nie ma (i nie powinna) kontrolować, w jaki sposób ludzie zarządzają swoimi danymi logowania, co oznacza, że nie można pociągnąć do odpowiedzialności, gdy pojawią się nieuniknione konsekwencje gwałtownego ponownego użycia hasła.
Niestety, w zeszłym miesiącu, nieco ponad rok po pierwszym ataku, Macy doznała drugiego, a tym razem sprawy wyglądają nieco inaczej.
Macy cierpi drugi cyberatak
Na początku tego tygodnia pojawiła się kopia listu z powiadomieniem o naruszeniu danych, który ujawnił, że Macy's informuje swoich klientów o drugim incydencie z włamaniem. Wiadomość została najwyraźniej wysłana w zeszłym tygodniu i stwierdza, że 7 października cyberprzestępcom udało się włamać na stronę Macy i wstrzyknąć złośliwy kod na dwie strony: stronę kasy i stronę portfela sekcji Moje konto.
Strona kasy to miejsce, w którym ludzie wpisują dane swojej karty kredytowej (w tym numer karty, kod CVV i datę ważności), a jak już zapewne się domyślacie, głównym celem wstrzykniętego skryptu było zeskrobanie wszystkich tych danych i przesłanie ich na kontrolowany serwer przez napastników. W sekcji Moje konto hakerzy mogli także kraść nazwiska, adresy fizyczne i e-mail oraz numery telefonów.
Prawie dokładnie takie same szczegóły zostały skradzione podczas ataku w lipcu 2018 r. Różnica polega jednak na tym, że chociaż pierwszy incydent można obwiniać za słabą higienę użytkowników w zakresie haseł, odpowiedzialność za drugie spoczywa wyłącznie na sklepie internetowym.
Magecart był u podstaw incydentu
Atak od samego początku nosił wszystkie cechy działania Magecart, a eksperci doszli do wniosku, że tak właśnie było. Magecart dla tych, którzy nie wiedzą, nie jest rodziną szkodliwego oprogramowania. Nie jest to także ekipa hakerska. Magecart to zbiorcza nazwa używana do operacji przeglądania kart kredytowych online, które wykorzystują określony zestaw narzędzi i technik. Popularność ataków Magecart wzrosła tak bardzo w ciągu ostatnich kilku lat, że ten rodzaj szumowania jest powszechnie uważany za jedno z największych zagrożeń dla firm prowadzących handel elektroniczny.
Oleg Kolesnikow z Securonix Threat Research Lab powiedział The Register, że Macy doznał typowego ataku Magecart. Zaatakowane pliki były celem poprzednich incydentów tego typu, a nawet domena Command & Control (C&C) była wykorzystywana przez hakerów Magecart.
Mimo to zespół bezpieczeństwa Macy nie zauważył początkowej ingerencji i nie złapał ataku dopiero tydzień później, co oznacza, że mogło dojść do naruszenia bezpieczeństwa wielu kart kredytowych. Niestety dokładna liczba dotkniętych użytkowników pozostaje na razie nieznana.
W powiadomieniu o naruszeniu danych nie podano, ile osób padło ofiarą ataku, a incydent nie jest wspomniany w komunikacie prasowym ani w żadnym innym oficjalnym kanale. Prawdopodobnie nie jest to najlepsza decyzja, biorąc pod uwagę liczbę osób, których naruszenie może dotyczyć.
Aby spróbować poprawić swój nastrój, Macy powiedział w swoim powiadomieniu, że dotknięci klienci mogą otrzymać od firmy Experian 12-miesięczne usługi ochrony przed kradzieżą tożsamości. Najwyraźniej jednak ludzie nie sądzą, że to wystarczy. Po tym, jak we wtorek pojawiły się wiadomości, akcje detalisty straciły prawie 11% swojej wartości w ciągu jednego dnia.
