Eggfree という英国のケーキ屋がデータ侵害でクレカ情報を盗まれた

Eggfree Cake Box suffer data breach exposing credit card numbers

2021/06/17 BleepingComputer — Eggfree Cake Box は、脅威アクターにより Web サイトがハッキングされ、クレジットカード番号が盗まれるという、データ侵害に遭ったことを公表した。Eggfree Cake Box は、鶏卵を使わない生クリーム・ケーキを販売する、英国内に 164 店舗を有するチェーン店だ。

今週のこと、Cake Box は顧客へのメールにおいて、2020年に同社の Web サイトがハッキングされ、悪意のスクリプトを埋め込まれ、同サイトへ向けて送信された顧客のクレジットカード情報などが無すまれていたことを明らかにした。2020年4月27日に Cake Box は、当時の決済処理プロバイダーである Global Payments から連絡を受け、サイトが侵害されていることを知った。

Cake Box は顧客に送付したデータ侵害通知書において、「当社は直ちにシステムの徹底的な調査を開始し、経験豊富な第三者のセキュリティ専門家の協力を得て、未承認の第三者が Cake Box の Web サイトにアクセスし、特定のマルウェアを置いたことを突き止めた。このマルウェアを使用することで、当社の Web サイトで商品を購入する際に、顧客から提供された特定の情報を、この第三者はコピーすることができた。

さらに、盗み出された情報が、不正な購入に使用されていることが判明した」と述べている。このマルウェアに感染した状態において、顧客が同社の Web サイトで購入すると、それらの悪意のスクリプトにより、姓名/メールアドレス/住所/決済カード情報/3桁の CVV コードなどが、攻撃者が管理するリモート・サーバーに送信されていた。

この記事では、一連の説明に基づき、今回の侵害を MageCart 攻撃だと推定しています。MageCart 攻撃とは、脅威アクターEコマース・サイトをハッキングし、支払い確認ページに悪意のスクリプトを埋め込むものです。これらのスクリプトは、チェックアウト・ページを監視し、そのページへ向けてクレジットカード情報が送信されると、そのデータを、攻撃者の管理下にあるリモートサイトに送信します。その後、攻撃者は、盗んだクレジットカード情報をリモートサイトから取得し、ダークウェブで販売したり、不正な取引を行ったりすることができます。Cake Box は、今回のデータ流出に関する通知を受け取った顧客に対して、現在および過去の取引を分析し、不正な請求がないことを確認するよう注意を促しているとのことです。

%d bloggers like this: