滿頭大汗的Betty客戶被警告發生“複雜的網絡安全事件”

Sweaty Betty Data Breach

在過去的幾個月中,網絡安全專家越來越多地使用“ Magecart”這個名稱。這個詞實際上是前一段時間創造的,現在已經成為一種通用名稱,用來表示在結帳過程中會掠奪在線購物者信用卡的惡意腳本的威脅。

關於Magecart的奇怪之處在於,它不是根據預定步驟列表進行的攻擊,甚至不涉及使用一組特定的工具。在某些Magecart攻擊中,黑客會破壞網站本身,有時,他們使用易受攻擊的第三方庫或插件在結帳頁面上運行其代碼。但是,結果始終是相同的-大量毫無戒心的客戶的信用卡詳細信息最終落入了網絡犯罪分子的手裡。攻擊通常很難檢測到,這使其變得相當有效,並且我們在過去幾個月中看到的與Magecart相關的眾多事件表明,黑客非常了解這一點。英國時尚零售商Sweaty Betty是他們的最新目標。

滿頭大汗的貝蒂被瑪格卡特擊中

11月19日,星期二,網絡犯罪分子滲透到Sweaty Betty的網站,並註入了一張信用卡抓取腳本,該腳本收集了客戶的付款明細,包括卡號,CVV和到期日期。除此之外,該惡意代碼還針對名稱,電子郵件,密碼,賬單地址和電話號碼。該零售商的發言人告訴Essential Retail,通過電話下訂單的客戶也受到影響。

據Sweaty Betty稱,只有新的支付卡被打了。使用PayPal,Apple Pay或已保存在其帳戶中的卡的人無需擔心。刷卡操作一直持續到11月27日,零售商的IT團隊注意到該異常代碼並刪除了該異常代碼。

滿頭大汗的貝蒂不想公開討論此事

不乏對Magecart攻擊感到不滿的人,這一點也不奇怪。正如一些受害者所指出的那樣,假期即將到來,這實際上不是爭論未授權費用或處理信用卡被凍結的最佳時機。人們對Sweaty Betty處理該違規的方式也不是特別滿意,不幸的是,我們不得不再次說,他們有一些很好的理由要脾氣暴躁。

汗流背的貝蒂(Betty)迄今未能告知公眾有多少人可能受到Magecart襲擊的打擊。它還沒有提及騙子設法進入並註入其代碼的方式。總體而言,零售商一直不願與公眾分享有關此次襲擊的任何細節。滿頭大汗的Betty確實向受影響的客戶發送了電子郵件通知,但並未正式宣布任何內容。然後,當擔心的客戶使用社交媒體嘗試查找更多信息時,他們被告知只有通過私人消息才能獲得更多信息。

這實際上並沒有對Sweaty Betty有所幫助。人們對這次襲擊感到不滿,這件事一定會對零售商的聲譽產生負面影響。至少在某種程度上更透明地披露發生了什麼以及為什麼會有所幫助,但是Sweaty Betty的管理層顯然已經決定,試圖保持安靜是一個更好的策略。我們正在努力看看這將如何取得他們的支持。

December 10, 2019

發表評論