ZAGG Inc., bilgisayar korsanlarının şirketin e-ticaret sağlayıcısı BigCommerce tarafından sağlanan üçüncü taraf bir uygulamayı ele geçirmesinin ardından kredi kartı verilerinin yetkisiz kişilerin eline geçtiği konusunda müşterilerini bilgilendiriyor.
ZAGG, ekran koruyucuları, telefon kılıfları, klavyeler ve güç bankaları gibi mobil aksesuarlarıyla tanınan bir tüketici elektroniği aksesuar üreticisidir. Utah merkezli şirketin yıllık geliri 600 milyon dolar.
Etkilenen kişilere gönderilen mektuba göre saldırgan, BigCommerce tarafından sağlanan FreshClicks uygulamasını ihlal etti ve alışveriş yapanların kart bilgilerini çalan kötü amaçlı kod enjekte etti.
“Bilinmeyen bir aktörün, 26 Ekim 2024 ile 7 Kasım 2024 tarihleri arasında belirli ZAGG.com müşteri işlemleri için ödeme sürecinin bir parçası olarak girilen kredi kartı verilerini kazımak üzere tasarlanmış FreshClick uygulamasına kötü amaçlı kod enjekte ettiğini öğrendik.” -ZAGG
BigCommerce, çeşitli endüstriler ve bölgelerde küçük işletmelerden büyük şirketlere kadar çok çeşitli işletmelere hizmet veren Austin merkezli bir hizmet olarak yazılım (SaaS) e-ticaret platformu sağlayıcısıdır.
FreshClick, BigCommerce platformu için uygulamalar ve duyarlı web siteleri oluşturmaya yardımcı olan üçüncü taraf bir uygulamadır. Elektronik mağazaların işlevselliğini artırmak ve müşteri deneyimini geliştirmek için tasarlanmıştır.
FreshClick doğrudan BigCommerce tarafından geliştirilmemiş olsa da, satıcıların mağazaları için eklentiler bulup yükleyebilecekleri özel bir alan olan platformun uygulama pazarı aracılığıyla sunulmaktadır.
BigCommerce, BleepingComputer’a yaptığı açıklamada, sistemlerinin ihlal edilmediğini veya tehlikeye atılmadığını vurguladı. BigCommerce, dahili araçları kullanarak FreshClicks Uygulamasının saldırıya uğradığını keşfetti ve uygulamayı müşterilerinin mağazalarından kaldırdı.
“Dahili araçlarımızı kullanarak ve iş ortağımızla iletişim kurarak, üçüncü taraf FreshClicks Uygulamasının güvenliğinin ihlal edildiğini doğruladık. Müşterilerimizin ve alışveriş yapanların çıkarına en uygun şekilde hareket ederek, uygulamayı mağazalarından derhal kaldırdık, bu da güvenliği ihlal edilmiş tüm API’leri kaldırdık ve kötü amaçlı kod” – BigCommerce
Bu veri ihlali sonucunda saldırgan, 26 Ekim – 7 Kasım 2024 tarihleri arasında zagg.com’da alışveriş yapan kullanıcılara ait isim, adres ve ödeme kartı verilerini çaldı.
Bu olaya yanıt olarak ZAGG, iyileştirme önlemlerini uygulamaya koydu, federal yasa uygulayıcıları ve düzenleyicileri bilgilendirdi ve etkilenen kişilerin Experian aracılığıyla 12 aylık ücretsiz bir kredi izleme hizmeti almasını sağladı.
Mektup alıcılarına ayrıca finansal hesap faaliyetlerini yakından izlemeleri, dolandırıcılık uyarıları vermeleri ve kredi dondurmayı düşünmeleri tavsiye edildi.
ZAGG, bu güvenlik ihlalinden kaç müşterinin etkilendiğini henüz açıklamadı.
BigCommerce mağazasında şu anda FreshClick tarafından oluşturulan ve toplu olarak 178 incelemeye sahip altı eklenti listeleniyor. Ancak güvenliği ihlal edilen eklenti geçici olarak kaldırılmış olabilir.