Green Bay Packers futbol takımının taraftarları, ödeme kartı skimmerinin saldırısına uğradı; Geçen sonbaharda Packers Pro Shop web sitesinden ürün satın alan kişilerin kişisel verileri toplanmış olabilir.
Veri ihlalinde 8514’e bildirim mektubu NFL ezici gücü, 23 Ekim’de, takımın 2024 sezonunun 8. haftasında Jacksonville Jaguars’la oynamaya hazırlandığı sırada, güvenlik personelinin kod konusunda uyarıldığını belirtti.
“Üçüncü taraf bir tehdit aktörü tarafından Pro Shop web sitesine eklenen kötü amaçlı kodun varlığı konusunda uyarıldık.” bildirimi okurEkip, mağazayı barındıran dış satıcıdan derhal e-ticaret sitesini çevrimdışına almasını istediğini ekledi. “Kötü amaçlı kod, yetkisiz bir üçüncü tarafın, Pro Shop web sitesinde sınırlı sayıda ödeme seçeneğini kullanan, ödeme sırasında girilen belirli müşteri bilgilerini görüntülemesine veya edinmesine izin vermiş olabilir.”
Neyse ki, skimmer yalnızca iki pencerede etkindi: 23-24 Eylül ve 3-23 Ekim 2024 tarihleri arasında. Hediye kartı, Pro Shop web sitesi hesabı, PayPal veya Amazon Pay kullanan hayranlar ise etkin değildi. maruz.
Ancak duyuruya göre siber suçlular, isimleri, adresleri (fatura ve teslimat), e-postaları ve tüm ödeme kartı bilgilerini toplayarak diğer herkesi hedef alabildiler.
Bir analize göre Green Bay’e saldırıyı bildiren Hollandalı e-ticaret güvenlik şirketi Sansec’ten yapılan açıklamaya göre, tehdit aktörleri JSONP geri aramasını ve kullanıcıların bir web sitesinden başka bir web sitesine içerik yerleştirmesine olanak tanıyan YouTube’un oEmbed özelliğini kötüye kullandı. Sonuçta, skimmer’lar Pro Shop web sitesi için İçerik Güvenliği Politikasını (CSP) atlamayı başardılar ve “https://js-stats.com/getInjector adresinden bir komut dosyası enjekte edildi. Bu komut dosyası, giriş, seçim ve işlemlerden veri topladı.” sitedeki metin alanı alanları, yakalanan bilgilerin dışarı sızmasını sağlıyor.”
Magecart ve Diğer Siber Suç Kartçıları için 6 Seçim?
Olayla ilgili kamuya açık bir atıf olmasa da, siber saldırı bir saldırının tüm özelliklerini taşıyor. klasik “Magecart” saldırısı. Magecart, kullanıcıların e-ticaret sitelerindeki ödeme sayfalarına koyduğu verileri sızdıran kötü amaçlı bir kod parçası enjekte etmek için bir web sitesindeki bir güvenlik açığından yararlanarak kredi kartlarını çalan gevşek bir grup konfederasyonu için kullanılan bir şemsiye terimdir.
Son zamanlarda bu tür saldırılar yapılıyor. yükselişteAraştırmacılar, klasik Magecart oyuncularının ötesinde çok sayıda grubun skimmer oyunları yürüttüğü konusunda uyarıyor; Packers kötü niyetliliğin son kurbanlarından sadece biri.
KnowBe4’ün baş güvenlik farkındalığı savunucusu Javvad Malik, “Skmmer saldırılarında neden bir artış olduğuna dair sağlam bir teori yok” diyor ve şöyle devam ediyor: “Bu, tatil döneminde çok sayıda e-ticaret işleminin gerçekleşmesi ve sonuçsuz kalan bir durum olabilir.” insanlar anlaşma ararken ve ayrıca bazı üçüncü tarafların alarmları tetiklemeden tehlikeye atılma kolaylığı.”
Kaydedilmiş Gelecekteki Ödeme Sahtekarlığı İstihbaratı grubuna göre, kötü aktörlerin kullanımı kolay sıyırıcı kitlerine güvenmesi ve dijital e-skimyanın gelecekte de e-ticaret için en büyük tehdit olmaya devam etmesi bekleniyor. kalıcı CMS güvenlik açıkları. Ayrıca daha küçük güvenlik kuruluşları (bunlar dahil) birçok spor franchise’ı tarafından kullanılıyor) özellikle risk altındadır.
“Ödeme Kartı Sektörü Veri Güvenliği Standardı” (PCI DSS) gereksinimleri Recorded Future’ın baş kötü amaçlı yazılım araştırmacısı Boris Ivanov, e-posta yoluyla şunları söyledi: “Güvenliği iyileştirmeyi hedeflemeye devam edeceğiz, ancak birçok küçük ve orta ölçekli perakendeci buna uyum sağlayamadığı için etkisi sınırlı kalacak.” Saldırganlar savunmasız platformlardan yararlanıyor ve ödeme verilerini tehlikeye atıyor.”
Bu arada Malik, kısmen taraftar coşkusu nedeniyle spor takımlarının siber suç sitelerinde birincil hedef olarak yer alabileceğini belirtiyor.
“Teknik olarak spor organizasyonlarının muhtemelen diğerlerinden farklı zorlukları yoktur” diyor. “Onları suçlular için çekici kılan şey, biletlere ve ticari ürünlere para harcamaya istekli sadık bir hayran kitlesine sahip olmaları. Çoğu zaman biletlerin satışa çıktığı yoğun dönemlerde bir telaş oluyor, dolayısıyla insanlar genellikle herhangi bir güvenliği göz ardı ediyor satın alma işlemlerini tamamlamaları için uyarılar.”
Ödeme-Skimmer Saha Oyununa Karşı Savunmak Zor
Skimmer’lar da bir an yaşıyor çünkü e-mağazaları çalıştıran kodun arka uç karmaşıklığı artıyor, bu da kötü amaçlı yazılım istilasına karşı koruma sağlıyor ve savunmayı daha geçirgen hale getiriyor.
Malik şöyle açıklıyor: “Bunların doğası gereği tespit edilmesi zordur, özellikle de bu saldırılar üçüncü taraf bileşenlerinin riske atılmasıyla gerçekleştiğinde, bu da kuruluşların kör noktalarına yol açabilir.” diye açıklıyor Malik. “Karmaşıklık ve birçok üçüncü tarafa bağımlılık, modern Web uygulamalarını güvende tutmanın belki de en büyük zorluğudur.”
Packers vakasında Pro Shop üçüncü bir tarafça barındırılıyor ve bu da işleri daha da karmaşık hale getiriyor.
“Birçok bileşeni ve barındırmayı dış kaynaklardan temin eden kuruluşlar durumunda, güvenlik sorumluluğu dış kaynaklardan sağlanamaz; bu nedenle birçok kuruluş, kuruluş içinde uçtan uca güvenliğe göz kulak olacak vasıflı kaynak eksikliğiyle karşı karşıya kalır; bu da genellikle körüklenen bir durumdur. bütçe kısıtlamaları nedeniyle” diyor Malik.
Sonuçta, Wisconsin NFL hayranlarına hizmet verenler de dahil olmak üzere her türden e-ticaret kuruluşunun, güvenliği iş çevikliği ve kullanıcı deneyimi ile dengelemesi gerekiyor ve bu da bir dizi zorluk yaratıyor. Teknik karmaşıklık, kaynak kısıtlamaları, beceri eksiklikleriMalik, ve organizasyon kültürünün hepsinin organizasyonların Web güvenliğine yaklaşımını etkileyebileceği konusunda uyarıyor.
“Bu, güvenliği sonradan akla gelen bir düşünce olarak ele almak yerine işin dokusuna yerleştirmekle ilgili” diyor. “Yapabileceğiniz şeylerden bazıları arasında sağlam içerik güvenliği politikaları uygulamak, düzenli güvenlik denetimleri ve sızma testleri gerçekleştirmek, olağandışı kod veya davranış kalıplarını tespit edebilecek gerçek zamanlı izleme kullanmak ve son olarak personeli eğitmek ve bir siber güvenlik kültürünü teşvik etmek yer alıyor.”
HackerOne personel inovasyon mimarı Dane Sherrets, kodlama açısından kullanıcı girişinin aksi kanıtlanana kadar şüpheli olarak değerlendirilmesi gerektiğini belirtiyor.
“Öncelikle, herkese kullanıcı girdilerine açıkça güvenmemeleri gerektiğini ve bu tür girdilerin tümünü potansiyel olarak kötü amaçlı olarak ele almalarını hatırlatmak önemli” diyor. “Green Bay Packers olayı özellikle sitenin CSP’sindeki bir boşluktan yararlanma tehdidini vurguluyor.”
Green Bay Packers yorum talebine hemen geri dönüş yapmadı.