Os cibercriminosos usaram um formulário falso para roubar informações dos clientes da Fitness Depot

A pandemia do COVID-19 significa que muitas pessoas têm muito tempo livre e uma desculpa a menos por não dar certo. As academias estão fechadas, mas há muitas lojas online que vendem equipamentos de ginástica e permitem que as pessoas permaneçam em forma durante o bloqueio. Uma gangue de criminosos cibernéticos percebeu isso e não teve problemas em escolher seu próximo alvo.

A Fitness Depot é uma grande varejista canadense de equipamentos esportivos que atua no ramo há mais de 20 anos, segundo seu site. Possui dezenas de lojas de tijolo e argamassa em todo o Canadá, mas compreensivelmente, nos últimos meses, o foco está no lado do comércio eletrônico dos negócios. Infelizmente, as pessoas que decidiram comprar equipamentos de ginástica na loja on-line da Fitness Depot entre fevereiro e maio poderiam ter seus dados pessoais roubados.

Fitness Depot relata um incidente de segurança

Nada no site da Fitness Depot ou nos canais oficiais de mídia social poderia levar você a acreditar que o varejista era alvo de hackers. Alguns de seus clientes, no entanto, recentemente começaram a receber notificações de violação de dados em sua caixa de entrada, o que sugere que o ataque ao Fitness Depot foi realmente muito sério.

Aparentemente, os cibercriminosos primeiro comprometeram a plataforma de comércio eletrônico da Fitness Depot em 18 de fevereiro. Eles fizeram o upload e redirecionaram os usuários para um formulário de pagamento "enganoso" que coletava todas as informações inseridas nele, incluindo nomes, e-mail e endereços físicos, números de telefone e detalhes de cartão de crédito.

Inicialmente, a página falsa afetava apenas os clientes de entrega em domicílio, mas em 28 de abril, os criminosos atualizaram o formulário e começaram a segmentar usuários que optaram pela opção de retirada na loja também. Quando eles finalmente souberam da violação em 22 de maio, os especialistas em TI da Fitness Depot fecharam temporariamente a loja on-line e tomaram medidas corretivas. Agora eles "acreditam" que o acesso dos cibercriminosos foi cortado.

Foi Magecart?

O ataque possui todas as características de uma operação clássica do Magecart, mas é impossível dizer com absoluta certeza o que foi porque faltam algumas peças do quebra-cabeça. No geral, a notificação de violação de dados da Fitness Depot é bastante pouco informativa.

Não sabemos, por exemplo, quantas pessoas poderiam ter sido afetadas pela violação. Também não temos idéia do motivo pelo qual o varejista levou três meses inteiros para descobrir que alguém havia comprometido seu site, e não podemos ter certeza se ele planeja ajudar as vítimas oferecendo pagamento por serviços de proteção contra roubo de identidade.

No entanto, a Fitness Depot parece saber quem é o culpado pela coisa toda. Uma investigação aparentemente revelou que o ISP do varejista "havia negligenciado a ativação do software antivírus" em sua conta. A notificação não diz que tipo de software antivírus deve proteger a loja on-line e não há informações sobre por que um varejista que vende centenas de itens a centenas de milhares de usuários teve que sofrer uma violação de dados para descobrir que seu site não era seguro.