Cyberbrottslingar använde ett falskt formulär för att stjäla information om kundsupportkunder

COVID-19-pandemin innebär att många människor har mycket fritid och en färre ursäkt för att inte träna. Gymmen är stängda, men det finns gott om onlinebutiker som säljer fitnessutrustning och gör det möjligt för människor att hålla sig i form under lockdown. En cyberkriminell gäng såg detta och hade inga problem att välja sitt nästa mål.

Fitness Depot är en stor kanadensisk återförsäljare av sportutrustning som har varit i branschen i över 20 år, enligt sin webbplats. Det har dussintals tegel- och murbruk i hela Kanada, men förståeligtvis har fokus under de senaste månaderna varit på e-handelssidan av verksamheten. Tyvärr kunde människor som bestämde sig för att köpa fitnessutrustning från Fitness Depots onlinebutik mellan februari och maj ha fått sin personliga information stulen.

Fitness Depot rapporterar om en säkerhetshändelse

Ingenting på Fitness Depots webbplats eller officiella sociala mediekanaler kan leda till att du tror att återförsäljaren var riktad av hackare. Några av dess kunder började dock nyligen få meddelanden om dataöverträdelser i sin inkorg, vilket tyder på att attacken på Fitness Depot faktiskt var ganska allvarlig.

Uppenbarligen kompromitterade cyberbrottslingar Fitness Depots e-handelsplattform den 18 februari. De laddade upp och omdirigerade användare till en "vilseledande" kassaformulär som skördade all information som anges på den, inklusive namn, e-post och fysiska adresser, telefonnummer och kreditkortsuppgifter.

Inledningsvis påverkade den falska sidan bara hemleveranskunder, men den 28 april uppdaterade skurkarna formuläret, och det började rikta in sig på användare som också har valt att välja alternativet i butiken. När de äntligen fick höra om överträdelsen den 22 maj stängde Fitness Depots IT-specialister tillfälligt online-butiken och vidtog ombyggnadsåtgärder. De "tror nu" att cyberbrottsernas tillgång har minskats.

Var det Magecart?

Attacken har alla egenskaperna hos en klassisk Magecart- operation, men det är omöjligt att säga med absolut säkerhet vad det var eftersom ganska många pusselbitar saknas. Sammantaget är meddelandet om dataöverträdelse av Fitness Depot ganska informativt.

Vi vet till exempel inte hur många människor som kunde ha drabbats av överträdelsen. Vi har inte heller någon aning om varför det tog återförsäljaren tre hela månader att få veta att någon hade äventyrat sin webbplats, och vi kan inte vara säker på om den planerar att hjälpa offren genom att erbjuda att betala för identitetsstöldskyddstjänster.

Fitness Depot verkar dock veta vem som är skylden för det hela. En undersökning visade tydligen att återförsäljarens internetleverantör "hade försummat att aktivera antivirusprogramvaran" på dess konto. Meddelandet säger inte vilken typ av antivirusprogram som ska skydda onlinebutiken, och det finns ingen information om varför en återförsäljare som säljer hundratals artiklar till hundratusentals användare måste drabbas av ett dataintrång för att få reda på att webbplatsen inte var säker.