Hãng sản xuất máy xay sinh tố là nạn nhân mới nhất của Magecart.
Nhà sản xuất máy xay sinh tố NutriBullet hôm thứ Tư cho biết họ đã xác định và loại bỏ mã độc trên trang web của mình cho phép kẻ tấn công đánh cắp dữ liệu từ khách hàng nhập thông tin thẻ thanh toán trên đó khi mua sản phẩm.
Động thái này diễn ra khoảng một tháng sau khi nhà cung cấp bảo mật RiskIQ lần đầu tiên phát hiện ra phần mềm độc hại trên trang web của NutriBullet và dường như đã thông báo cho công ty về nó ngay sau đó. Theo Rủi roIQ, NutriBullet đã không phản hồi nhiều nỗ lực để cảnh báo về vấn đề này cho đến ngày hôm nay.
Các nhà nghiên cứu tại RiskIQ, phối hợp làm việc với ShadowServer và Abuse.ch — hai tổ chức phi lợi nhuận chống phần mềm độc hại — thay vào đó đã gỡ bỏ miền mà những kẻ tấn công đang sử dụng để lưu trữ dữ liệu thẻ tín dụng bị đánh cắp. Nỗ lực này đã dẫn đến việc thiết bị trượt thẻ bị xóa khỏi trang web của NutriBullet vào ngày 1 tháng 5, chỉ được thay thế bằng một thiết bị mới vào ngày XNUMX tháng XNUMX.
RiskIQ một lần nữa hoạt động để vô hiệu hóa miền đánh cắp dữ liệu của kẻ tấn công và, trong lần lặp lại lần đầu tiên, những kẻ đe dọa đã đặt một skimmer thẻ mới trên trang web của NutriBullet vài ngày sau đó. Trong vài tuần qua, bọn tội phạm đã truy cập vào cơ sở hạ tầng của NutriBullet và tiếp tục có thể thay thế miền skimmer trong mã để làm cho nó hoạt động trở lại, RiskIQ cho biết trong một báo cáo. báo cáo Thứ Tư. Rủi ro cho biết những khách hàng đã đặt hàng trên trang web của NutriBullet từ ngày 20 tháng XNUMX đến hôm nay có thể đã bị ảnh hưởng.
Trong một tuyên bố gửi qua email cho Dark Reading, NutriBullet thừa nhận vấn đề và tuyên bố vấn đề đã được giải quyết nhanh chóng. Tuyên bố của NutriBullet cho thấy công ty lần đầu tiên biết về skimmer ngày hôm nay, điều này mâu thuẫn với tuyên bố của RiskIQ về việc công ty đã được thông báo trước đó về vấn đề này. Rủi roIQ đã tiếp tục khẳng định rằng họ đã thực hiện nhiều nỗ lực trước đó để tiếp cận NutriBullet.
“Nhóm CNTT của chúng tôi đã ngay lập tức hành động vào sáng nay (3/17/20) khi lần đầu tiên biết được từ RiskIQ về một vi phạm có thể xảy ra,” NutriBullet cho biết. “Nhóm CNTT của công ty đã nhanh chóng xác định mã độc và loại bỏ nó.” NutriBullet cho biết họ đã tiến hành một cuộc điều tra pháp y để xác định cách những kẻ tấn công đã quản lý để đặt skimmer trên trang web của mình. Nó cũng đã cập nhật các chính sách bảo mật của mình để bao gồm xác thực đa yếu tố.
NutriBullet là nạn nhân mới nhất của Magecart, một tập hợp các nhóm tin tặc trong vài năm qua đã đánh cắp dữ liệu trên hàng trăm triệu thẻ tín dụng và thẻ ghi nợ bằng cách đặt phần mềm đọc lướt thẻ trên các trang web thương mại điện tử. Mặc dù mỗi nhóm trong số nhiều nhóm có chiến thuật và kỹ thuật hơi khác nhau, nhưng phổ biến nhất là đặt skimmer trên phần mềm giỏ hàng trực tuyến hoặc trên các thành phần phần mềm của bên thứ ba khác mà các trang web thường sử dụng.
Skimmer thẻ được thiết kế để đánh cắp thông tin thẻ mà khách hàng nhập vào các trang web khi mua hàng. Trong vài năm qua, các nhóm hoạt động dưới sự bảo trợ của Magecart đã xâm phạm hàng chục nghìn tổ chức lớn, bao gồm Ticketmaster, British Airways và NewEgg.
Chiến lược Magecart nêu bật Rủi ro chuỗi cung ứng
Yonathan Klijnsma, nhà nghiên cứu mối đe dọa tại RiskIQ, cho biết các chiến thuật khác nhau mà các nhóm Magecart sử dụng khiến các tổ chức gặp khó khăn hơn trong việc ứng phó. Klijnsma nói: “Mục tiêu cuối cùng luôn là làm cho skimmer hoạt động trong quy trình thanh toán của trang web, nhưng cách họ đặt nó rất khác nhau — họ làm điều đó theo cách họ có thể. “Điều tương tự cũng xảy ra đối với việc vi phạm các trang web ban đầu của họ, có thể là khai thác trang web [hệ thống quản lý nội dung] để sử dụng lại thông tin đăng nhập và chỉ cần đăng nhập với tư cách quản trị viên.”
Klijnsma cho biết RiskIQ đã theo dõi các hoạt động của Magecart từ năm 2014 và do đó có thể phát hiện ra các cuộc tấn công giống như cuộc tấn công vào NutriBullet khi chúng xảy ra. Ông cho biết thêm: “RiskIQ không thể biết được có bao nhiêu người mua trên trang web của NutriBullet có thể đã bị đánh cắp thông tin thẻ tín dụng của họ. Nhưng dựa trên cách thức hoạt động của Magecart, có khả năng những khách hàng đã mua sắm trên trang web của nhà sản xuất máy xay sinh tố trong khoảng thời gian các skimmer hoạt động trên đó đã bị ảnh hưởng. “Chúng tôi không mong đợi sự im lặng vô tuyến từ NutriBullet, nhưng thật đáng buồn là trường hợp này đã xảy ra.”
Lamar Bailey, giám đốc cấp cao về nghiên cứu bảo mật tại Tripwire, cho biết hầu hết các công ty vừa và lớn đều có một quy trình chính thức để báo cáo các lỗ hổng và vấn đề bảo mật và thường phản hồi nhanh chóng khi được thông báo về một vấn đề. Nhưng việc khiến các công ty nhỏ hơn phản hồi thông tin về mối đe dọa bảo mật trên trang web của họ đôi khi có thể là một cuộc đấu tranh. Bailey nói: “Tôi sẽ nói thêm rằng điều đó còn tồi tệ hơn đối với các công ty phát triển sản phẩm cho công chúng,” chẳng hạn như các nhà sản xuất Internet of Things nhỏ. “Nhiều người trong số họ sẽ loại bỏ sản phẩm hoặc ngừng sử dụng sản phẩm hoặc sửa chữa nó. Điều này khiến khách hàng rơi vào tình thế tồi tệ.”
Đối với các tổ chức, các cuộc tấn công chẳng hạn như các cuộc tấn công liên quan đến nhóm Magecart làm nổi bật tầm quan trọng của bảo mật chuỗi cung ứng vì trong hầu hết các sự cố, người điều hành Magecart đã đặt skimmer thẻ trong phần mềm của bên thứ ba như giỏ hàng, hệ thống quản lý nội dung và công cụ theo dõi khách truy cập.
Tim Mackey, chiến lược gia bảo mật chính tại Synopsys CyRC cho biết: “Với các ứng dụng hiện đại sử dụng nhiều thư viện và dịch vụ của bên thứ ba, có rất nhiều địa điểm để đầu độc chuỗi cung ứng một cách hiệu quả.
Do đó, đối với các tổ chức, câu hỏi ngày càng đặt ra là họ có thể tin tưởng vào ai. Mackey cho biết khi phần mềm chỉ được lấy từ các nhà cung cấp thương mại, sự tin tưởng vốn có trong hợp đồng giữa nhà cung cấp và người mua. Nhưng khi không rõ nguồn gốc và quyền tác giả của phần mềm, chủ sở hữu trang web cần phải xử lý để kiểm tra độ tin cậy.
Mackey nói: “Nếu các nhà phát triển không thể giải thích điều gì đã thay đổi trong một bản phát hành nhất định, thì đó là một vấn đề. “Nếu họ không thể giải thích cách mã mà họ phụ thuộc vào được cập nhật, thì đó là một vấn đề. Cả hai đều có hiệu lực tương đương với [nói] 'nếu nó ở trên Internet, nó phải ổn',” Mackey nói.
Nội dung liên quan:
Jai Vijayan là một phóng viên công nghệ dày dạn kinh nghiệm với hơn 20 năm kinh nghiệm trong ngành báo chí thương mại CNTT. Gần đây nhất, ông là Biên tập viên cao cấp tại Computerworld, nơi ông đề cập đến vấn đề bảo mật thông tin và quyền riêng tư dữ liệu cho ấn phẩm. Trong suốt 20 năm của mình Xem Full Bio
Thông tin chi tiết
