Einzelhandelsgigant Macy leidet unter Datenverletzung

Einzelhandelsgigant Macy leidet unter Datenverletzung

Am 14. November 2019 wurde der US-Einzelhandelsriese Macy’s angekündigt dass es einen Datenverstoß erlitten hatte. Die Verletzung scheint das Ergebnis eines weiteren Magecart-Angriffs zu sein. Macy's wurde nun zusammen mit British Airways zu einer Liste hochkarätiger Magecart hinzugefügt Anschläge . Bei einem Magecart-Angriff zielt der Hacker auf die Warenkorbfunktion auf einer E-Commerce-Website ab. Der Hacker fügt bösartigen Code in die Funktion ein, mit dem der Hacker Kreditkartendaten überfliegen und an einen Befehls- und Kontrollserver senden kann. In dem Macy-Vorfall wurde bösartiger Code sowohl auf der Kasse als auch auf der Warenkorbseite hinzugefügt, wodurch der Hacker noch mehr Kundeninformationen stehlen konnte.



Der Ankündigung zufolge wurden die Checkout- und Warenkorbseiten am 7. Oktober gehackt, wobei der Hack erst am 15. Oktober erkannt wurde. Dies bedeutet, dass für eine Woche alle auf den gefährdeten Seiten eingegebenen Details vom Hacker gesammelt werden konnten. In diesem Fall konnten die Angreifer auf Kundeninformationen und Kreditkarteninformationen zugreifen, darunter Vorname, Nachname, Adresse, Stadt, Bundesland, Postleitzahl, Telefonnummer, E-Mail-Adresse, Zahlungskartennummer, CVV-Nummer und Ablaufdaten der Karte . Der Einzelhandelsriese bemerkte:

Windows 10 Wir konnten die Updates nicht abschließen und Änderungen rückgängig machen

„Am 15. Oktober 2019 wurden wir auf eine verdächtige Verbindung zwischen macys.com und einer anderen Website aufmerksam gemacht. Unsere Sicherheitsteams leiteten sofort eine Untersuchung ein. Aufgrund unserer Untersuchung glauben wir, dass am 7. Oktober 2019 ein nicht autorisierter Dritter zwei (2) Seiten auf macys.com nicht autorisierten Computercode hinzugefügt hat. Der nicht autorisierte Code war hochspezifisch und erlaubte nur dem Dritten, die von übermittelten Informationen zu erfassen Kunden auf den folgenden zwei (2) macys.com-Seiten: (1) die Checkout-Seite - wenn Kreditkartendaten eingegeben wurden und die Schaltfläche 'Bestellung aufgeben' gedrückt wurde und (2) die Brieftaschenseite - Zugriff über 'Mein Konto'. Unsere Teams haben den nicht autorisierten Code am 15. Oktober 2019 erfolgreich entfernt. “

macy



Service Host lokales System Netzwerk eingeschränkt 13

Macy hat weitere Informationen mit geteilt Bleeping Computer Angabe,

„Uns ist ein Datensicherheitsvorfall bekannt, an dem eine kleine Anzahl unserer Kunden auf Macys.com beteiligt ist. Wir haben die Angelegenheit gründlich untersucht, die Ursache behoben und vorsorglich zusätzliche Sicherheitsmaßnahmen getroffen. Alle betroffenen Kunden wurden benachrichtigt, und wir bieten diesen Kunden kostenlos Verbraucherschutz an. “

Der zusätzliche Schutz, den Macy bietet, ist die kostenlose Nutzung der Experian-Identitätsschutzdienste. Das Unternehmen empfiehlt allen Kunden ferner, ihre Konten zu überwachen und verdächtige Transaktionen oder Ereignisse zu melden. Das Unternehmen arbeitet mit Strafverfolgungsbehörden und einer anderen noch zu benennenden forensischen Firma zusammen. Darüber hinaus hat das Unternehmen Unternehmen wie Visa, Mastercard und andere Kreditkartenunternehmen über den Verstoß informiert. In demselben Artikel, der kürzlich von Bleeping Computer veröffentlicht wurde, teilte eine anonyme Quelle den verschleierten Schadcode mit. Der Code zeigt, dass der Hacker, als er die Macy's-Website kompromittierte, das Skript so änderte, dass es ein verschleiertes Magecart-Skript enthielt. Sobald ein Kunde seine Zahlungsinformationen übermittelt hat, wird dieses Skript gestartet und die übermittelten Informationen an einen Befehls- und Steuerungsserver unter Barn-x.com/api/analysis.php gesendet.



Nicht das erste Mal

Dies ist nicht der erste Verstoß von Macy. Im Juli 2018 Neuigkeiten Berichte Es stellte sich heraus, dass das Unternehmen einen Datenverstoß erlitten hatte. Es zeigte sich, dass es den Hackern gelang, Kundennamen und Kreditkartennummern, Ablaufdaten und Sicherheitsnummern zu stehlen. Zu diesem Zeitpunkt war schätzungsweise 0,5% der Online-Kunden von Macy und ihrer Schwesterfirma Bloomingdale von dem Verstoß betroffen. In diesem Fall begann der Kompromiss Ende April und lief möglicherweise bis Mitte Juni. Macy's stellte erneut kostenlos Kundenschutzdienste zur Verfügung. Dies reichte jedoch nicht aus, um einige betroffene Kunden davon abzuhalten, eine rechtliche Rückerstattung zu beantragen.

Was würde dazu führen, dass mein Computer von selbst heruntergefahren wird

Kurz nachdem die Kunden über den Verstoß informiert worden waren, wurde eine Sammelklage gegen Macy's eröffnet. Bevor die Gerichte über die Angelegenheit entscheiden konnten, erzielte Macy einen Vergleich mit Kunden über 250.000 USD. Gerichtsverfahren wie diese zeigen die zusätzlichen, oft unerwarteten Kosten, die mit Datenschutzverletzungen verbunden sind. Für kleinere Unternehmen, die auf Online-Handel angewiesen sind, können solche Verstöße letztendlich zum Bankrott führen. Jeder Online-Händler sollte konzertierte Anstrengungen unternehmen, um alle Gesetze in Bezug auf seine Verantwortung beim Umgang mit Verbraucherdaten einzuhalten, insbesondere alle Daten, die personenbezogene Daten enthalten.

Nicht nur Unternehmen können Daten schützen, sondern auch Verbraucher können im Kampf helfen. Beim Einkauf in Online-Shops, die eine weitere Authentifizierung erfordern, wird dringend empfohlen. Dienste wie Apple Pay können ebenfalls verwendet werden, da sie die Eingabe eines generierten Codes erfordern, um einen Kauf abzuschließen. Kunden können auch die Dienste von Kreditgenossenschaften nutzen, um zu überwachen, ob ohne ihr Wissen Konten in ihrem Namen eröffnet wurden. Kürzlich wurde der US-Finanzdienst IRS veröffentlicht Rat um die Verbraucher während der bevorstehenden Ferienzeit und des Ansturms am Schwarzen Freitag zu schützen. Das IRS rät den Menschen:

  • Verwenden Sie Sicherheitssoftware für Computer und Mobiltelefone - und halten Sie diese auf dem neuesten Stand.
  • Schützen Sie persönliche Daten und geben Sie sie nicht an Dritte weiter.
  • Verwenden Sie sichere und eindeutige Kennwörter für alle Konten.
  • Verwenden Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
  • Nur sichere Websites einkaufen Suchen Sie in den Webadressen nach 'https'. Vermeiden Sie das Einkaufen in ungesichertem und öffentlichem WLAN an Orten wie Einkaufszentren.
  • Sichern Sie regelmäßig Dateien auf Computern und Mobiltelefonen.

Bei Magecart-Angriffen besteht die Tendenz, die Betreiber der Website dafür verantwortlich zu machen, dass sie ihre Sicherheit nicht ordnungsgemäß überwachen. Während dies in vielen Fällen zutrifft, besteht die Realität der Cybersicherheit darin, dass sowohl der Lieferant als auch der Endbenutzer Maßnahmen ergreifen können, um Angriffe zu verhindern. Die Verwendung sicherer Optionen bei der Online-Bezahlung von Artikeln sollte nicht als lästige Pflicht, sondern als Notwendigkeit angesehen werden.