Skimmer puede haber puesto la tarjeta de clientes NutriBullet …



Blender Maker es la última víctima de Magecart.

El fabricante de licuadoras NutriBullet dijo el miércoles que identificó y eliminó el código malicioso en su sitio website que permitía a los atacantes robar datos de los clientes que ingresaban la información de la tarjeta de pago al comprar productos.

La medida se produjo aproximadamente un mes después de que el proveedor de seguridad RiskIQ detectó por primera vez el malware en el sitio world wide web de NutriBullet y aparentemente informó a la compañía poco después. Según RiskIQ, NutriBullet no respondió a múltiples intentos de alertarlo sobre el problema hasta hoy.

Los investigadores de RiskIQ, trabajando en conjunto con ShadowServer y Abuse.ch, dos organizaciones sin fines de lucro que luchan contra el malware, eliminaron el dominio que los atacantes estaban usando para almacenar datos robados de tarjetas de crédito. El esfuerzo resultó en la eliminación del skimmer de tarjetas del sitio website de NutriBullet el 1 de marzo, solo para ser reemplazado por uno nuevo el 5 de marzo.

RiskIQ una vez más trabajó para neutralizar el dominio de exfiltración de datos del atacante y, en una repetición de la primera vez, los actores de la amenaza colocaron un nuevo skimmer de tarjetas en el sitio world-wide-web de NutriBullet unos días después. En las últimas semanas, los delincuentes tuvieron acceso a la infraestructura de NutriBullet y continuaron siendo capaces de reemplazar el dominio del skimmer en el código para que volviera a funcionar, dijo RiskIQ en un comunicado. reporte Miércoles. Es probable que los clientes que hicieron pedidos en el sitio world-wide-web de NutriBullet entre el 20 de febrero y hoy se hayan visto afectados, dijo RiskIQ.

En una declaración enviada por correo electrónico a Dark Studying, NutriBullet reconoció el problema y afirmó que el asunto se había resuelto rápidamente. La declaración de NutriBullet sugirió que la compañía se enteró por primera vez del skimmer hoy, lo que está en desacuerdo con las afirmaciones de RiskIQ sobre la notificación previa de la compañía sobre el problema. RiskIQ ha seguido manteniendo que realizó múltiples intentos previos para llegar a NutriBullet.

«Nuestro equipo de TI inmediatamente entró en acción esta mañana (17/03/20) al enterarse por primera vez de RiskIQ sobre una posible violación», dijo NutriBullet. «El equipo de TI de la compañía identificó rápidamente el código malicioso y lo eliminó». NutriBullet dijo que había lanzado una investigación forense para determinar cómo los atacantes habían logrado colocar a los skimmers en su sitio website. También ha actualizado sus políticas de seguridad para incluir la autenticación multifactor.

NutriBullet es la última víctima de Magecart, una colección de grupos de hackers que en los últimos años ha robado datos de cientos de millones de tarjetas de crédito y débito al colocar computer software de robo de tarjetas en sitios de comercio electrónico. Aunque cada uno de los múltiples grupos tiene tácticas y técnicas ligeramente diferentes, lo más común ha sido colocar skimmers en el program del carrito de compras en línea o en otros componentes de application de terceros que los sitios website usan comúnmente.

Los skimmers de tarjetas están diseñados para robar información de tarjetas que los clientes ingresan en sitios internet al realizar una compra. En los últimos años, los grupos que operan bajo el paraguas de Magecart han comprometido a decenas de miles de grandes organizaciones, incluidas Ticketmaster, British Airways y NewEgg.

La estrategia de Magecart destaca los riesgos de la cadena de suministro
Yonathan Klijnsma, investigador de amenazas en RiskIQ, dice que las diferentes tácticas que usan los grupos de Magecart dificultan la respuesta de las organizaciones. «El objetivo final siempre es lograr que el skimmer funcione en el proceso de pago de un sitio website, pero la forma en que lo colocan varía ampliamente: lo hacen como pueden», dice Klijnsma. «Lo mismo ocurre con la violación inicial de los sitios website, que puede ser la explotación del sitio world-wide-web (sistema de gestión de contenido) para reutilizar las credenciales y simplemente iniciar sesión como administrador».

Klijnsma dice que RiskIQ ha estado rastreando las actividades de Magecart desde 2014 y, por lo tanto, puede detectar ataques como el de NutriBullet a medida que ocurren. RiskIQ no tiene visibilidad sobre cuántos compradores en el sitio website de NutriBullet pueden haber robado la información de su tarjeta de crédito, agrega. Pero en función de cómo opera Magecart, es probable que los clientes que compraron en el sitio world wide web del fabricante de la licuadora durante el período en que los skimmers estuvieron en él se vieron afectados. «No esperábamos silencio de radio de NutriBullet, pero lamentablemente fue el caso».

Lamar Bailey, director senior de investigación de seguridad en Tripwire, dice que la mayoría de las empresas medianas y grandes tienen un proceso official para informar vulnerabilidades y problemas de seguridad y que generalmente responden rápidamente cuando se les informa sobre un problema. Pero hacer que las empresas más pequeñas respondan a la información sobre una amenaza de seguridad en sus sitios internet a veces puede ser una lucha. «Agregaré que es peor para las compañías que desarrollan productos para el público en typical», como los pequeños fabricantes de World wide web de las cosas, dice Bailey. «Muchos de ellos desaprobarán el producto o lo dejarán sin vida o lo arreglarán. Esto deja a los clientes en una mala posición».

Para las organizaciones, los ataques como los que involucran a grupos de Magecart resaltan la importancia de la seguridad de la cadena de suministro porque en la mayoría de los incidentes, los operadores de Magecart han colocado skimmers de tarjetas en application de terceros, como carros de compras, sistemas de administración de contenido y herramientas de seguimiento de visitantes.

«Con las aplicaciones modernas que utilizan una gran cantidad de bibliotecas y servicios de terceros, existen amplias ubicaciones para envenenar efectivamente la cadena de suministro», dice Tim Mackey, estratega de seguridad principal de Synopsys CyRC.

Por lo tanto, para las organizaciones, la pregunta es cada vez más sobre en quién pueden confiar. Cuando el software program se obtuvo únicamente de proveedores comerciales, la confianza period inherente al contrato entre el vendedor y el comprador, dice Mackey. Pero cuando se desconoce la procedencia y la autoría del software program, los propietarios de sitios world-wide-web deben tener un procesamiento para verificar la confianza.

«Si los desarrolladores no pueden explicar qué cambió en una versión dada, eso es un problema», dice Mackey. «Si no pueden explicar cómo se actualiza el código del que dependen, eso es un problema. Ambos son, en efecto, el equivalente a (decir) &#39si está en World wide web, debe estar bien&#39», dice Mackey.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más tips





Enlace a la noticia initial