Macy's kunder börjar få information om hur man skyddar sina konton efter ett dataintrång

Undersökningar tyder på att företag, enligt användare, är ansvariga för att skydda människors personliga information och bör ta allt ansvar efter att de har drabbats av ett dataintrång. Ibland är saker dock inte så enkla som det. Förra året fick till exempel några av kunderna till klädförsäljaren Macy's deras personliga information komprometteras av hackare, men butiken var knappast den enda parten att skylla på. Då var Macy's riktade mot en referensstoppattack, och som vi alla vet kan en referensstoppattack bara fungera om många kunder använder samma gamla lösenord. Macy's har inte (och borde inte) kontrollera hur människor hanterar sina inloggningsdata, vilket innebär att de inte kan hållas ansvariga när de oundvikliga konsekvenserna av återanvända lösenord återanvänder sig.

Tyvärr, förra månaden, lite över ett år efter den första attacken, har Macy drabbats av en andra, och den här gången är saker och ting annorlunda.

Macy lider av ett andra cyberattack

Tidigare den här veckan dök upp en kopia av ett anmälningsbrev för dataöverträdelse, vilket avslöjade att Macy's informerar sina kunder om en andra hackinghändelse. Meddelandet skickades tydligen förra veckan och det står att den 7 oktober lyckades cyberbrottslingar hacka in på Macy's webbplats och injicera skadlig kod på två av sidorna: kassasidan och plånbokssidan i avsnittet Mitt konto.

Kassasidan är där människor anger sina kreditkortsuppgifter (inklusive kortnummer, CVV-kod och utgångsdatum), och som du kanske har gissat redan var det injicerade skriptets huvudmål att skrapa all den informationen och skicka den till en serverkontrollerad av angriparna. I avsnittet Mitt konto kunde hackarna också stjäla namn, fysiska adresser och e-postadresser och telefonnummer.

Ganska mycket exakt samma typ av detaljer stalna under juli 2018: s attack. Skillnaden är emellertid att även om den första händelsen kan skyllas på användarnas dåliga lösenordshygien, ligger ansvaret för den andra bara på onlinehandlaren.

Magecart var längst ner i händelsen

Attacken bar alla kännetecknen för en Magecart-operation redan från början, och säkert nog, efter att ha tittat, drog experterna slutsatsen att det var exakt vad det var. Magecart, för er som inte vet är inte en skadlig familj. Det är inte heller en hackande besättning. Magecart är ett samlingsnamn som används för online-skumningskreditoperationer som använder en viss uppsättning verktyg och tekniker. Populariteten hos Magecart-attacker ökade så mycket under de senaste åren, att denna typ av skimming anses allmänt vara ett av de största hoten mot e-handelsföretag idag.

Oleg Kolesnikov från Securonix Threat Research Lab berättade för The Register att Macy's drabbades av en typisk Magecart-attack. De komprometterade filerna hade riktats mot tidigare incidenter av denna typ, och till och med Command & Control (C&C) -domänen hade använts av Magecart-hackare.

Trots allt detta lyckades Macy's säkerhetsteam inte märka den inledande intrång, och de fick inte attacken förrän en vecka senare, vilket innebär att ganska många kreditkort kan ha äventyrats. Tyvärr förblir det exakta antalet berörda användare okänt för tillfället.

I anmälningsbrevet för dataöverträdelse sägs inte hur många som blev offer för attacken, och händelsen nämns inte i ett pressmeddelande eller via någon av de andra officiella kanalerna. Detta är förmodligen inte det bästa beslutet med tanke på antalet personer som kan drabbas av överträdelsen.

För att försöka lysa upp sitt humör sade Macy's i sitt meddelande att de drabbade kunderna kan få 12 månaders identitetsstöldskyddstjänster från Experian gratis. Men uppenbarligen tror inte folk att det räcker. Efter att nyheterna bröt på tisdagen förlorade detaljistens lager nära 11% av sitt värde på bara en dag.