美国珠宝和配饰巨头克莱尔(Claire's)及其子公司Icing的网站在4月遭到入侵,可能允许黑客访问客户的信用卡。
克莱尔(Claire's)是一家非常受欢迎的美国珠宝首饰店,在北美和欧洲拥有2,000多个分店,在其他地区设有6,794个特许经营店和546个特许经营店。
克莱尔(Claire)的商店通常在美国各地的购物中心中找到,并且在少女和年轻女性中非常受欢迎。
在网络安全公司Sansec的一份新报告中,克莱尔的网站遭到攻击者的攻击,这些攻击者试图从该网站购买时窃取客户的付款信息。
这种类型的损害称为``MageCart攻击'',由黑客破坏网站构成,以便他们可以将恶意JavaScript脚本注入网站的各个部分。然后,这些脚本会窃取客户提交的付款信息。
克莱尔(Claire)与BleepingComputer分享了以下有关妥协的声明:
“星期五,我们发现了与我们的电子商务平台有关的问题,并立即采取了行动进行调查和解决。我们的调查发现,未经授权将代码插入了我们的电子商务平台,旨在获取客户在交易期间输入的付款卡数据结帐流程。我们删除了该代码,并采取了其他措施来加强我们平台的安全性。我们正在努力确定所涉及的交易,以便我们可以通知这些人。我们在零售店中使用的卡不受此影响我们也已通知支付卡网络和执法部门,建议持卡人始终监视其对帐单上的未经授权费用。支付卡网络规则通常规定,持卡人对及时报告的未经授权费用不承担任何责任。很遗憾发生这种情况,对于由此给您带来的任何不便,我们深表歉意。”
玛格卡特袭击
由于COVID-19大流行,克莱尔(Claire)在全球范围内关闭了所有实体店后的第二天,威胁行动者创建了一个名为“ claires-assets.com”的域名。
根据Sansec研究小组的说法,该域处于休眠状态,直到4月25日,一个恶意脚本被添加到了claires.com及其子网站icing.com。
“该恶意软件已添加到(否则是合法的)app.min.js文件中。该文件托管在Salesforce服务器上,因此不涉及“供应链攻击”,并且攻击者实际上已经获得了对运行商店的服务器的写访问权”,Sansec的报告说。
该恶意脚本等待客户签出,然后尝试通过将其作为参数发送到属于攻击者的https://claires-assets.com/上的图像URL作为参数来窃取其支付信息。
根据Sansec研究人员的说法,该恶意脚本至少在4月30日至6月13日之间试图窃取客户的信用卡。
Sansec的威廉·德·格鲁特(Willem de Groot)告诉BleepingComptuer,克莱尔(Claire)承认收到了他们的报告,并于周六删除了恶意代码。
在4月30日至6月13日之间在克莱尔购物区进行购物的任何客户,都应联系其信用卡公司并监视对欺诈性购买的声明,以确保安全。
BleepingComputer曾向Claire提出问题,但至今尚未收到回复。更新6月15日,美国东部时间07:42:更改了存在恶意软件的时间间隔。美国东部时间6月15日10:41更新:添加了克莱尔的声明。