Платёжные данные клиентов канадского ритейлера алкоголя слили в даркнет

12 января канадский гигант розничной торговли алкоголем LCBO (Liquor Control Board of Ontario) объявил , что «неавторизованная сторона внедрила вредоносный код» на его веб-сайт, чтобы украсть информацию клиентов в процессе оформления заказа. Представители компании сообщили, что в течение пяти дней в январе информация клиентов «могла быть скомпрометирована».

Фактически, заражение произошло ещё в декабре, в ходе атаки на сайт LCBO, длившейся более недели. Компания не сообщала публично об этой атаке.

LCBO — государственное предприятие, в настоящее время оно является одним из крупнейших розничных и оптовых продавцов алкогольных напитков в мире. На прошлой неделе компания заявила, что временно закрывает свой веб-сайт и приложение для расследования «инцидента кибербезопасности». Согласно заявлению, все розничные магазины компании (680 магазинов) работают без риска для безопасности клиентов. Для устранения инцидента были привлечены сторонние эксперты.

«В настоящее время мы можем подтвердить, что неавторизованная сторона внедрила вредоносный код на наш веб-сайт. Этот код был разработан для получения информации о клиентах в процессе оформления заказа», — сообщили представители LCBO, добавив, что информация о клиентах, указанная на страницах оформления заказа, могла быть «скомпрометирована».

Украденная информация включала имена клиентов, их адреса электронной почты, пароли и платёжные данные карт. LCBO призвали клиентов, которые совершали покупки в этот период времени, внимательно проверять платежи по картам и сразу сообщать о подозрительных транзакциях.

На данный момент LCBO выявляют конкретных клиентов, которые пострадали в результате атаки, чтобы общаться с ними напрямую. Веб-сайт и приложение восстановлены и работают, но пароли всех учетных записей были сброшены. За последние три месяца веб-сайт посещали в среднем более 3 миллионов человек в месяц, из которых 94% приходилось на Канаду, а 3% — на США.

Сообщается, что хакеры внедрили на веб-сайт LCBO код JavaScript, позволивший им экспортировать все данные, которые жертвы вводили при оформлении заказа. Исследователи Recorded Future заявили, что с августа 2020 года они видели этот способ взлома в различных интерпретациях. Они обнаружили пять других доменов электронной коммерции с заражениями, которые использовали тот же вредоносный домен — lotilabs[.]org — либо для хостинга электронного скиммера, либо для эксфильтрации данных.

Вредоносный код, встроенный на официальный сайт LCBO

Тим Моррис из Tanium сказал, что атаки на электронные скиммеры существуют уже много лет, но многие ритейлеры до сих пор не извлекли уроков из громких инцидентов с участием Target и Ticketmaster. «Многие владельцы предприятий просто ведут свой бизнес, но не имеют достаточно технических знаний или ресурсов, чтобы избежать подобных инцидентов», — сказал Моррис. Также он добавил: «С точки зрения потребителя лучше всегда использовать карты с защитой от мошенничества, виртуальные карты и регулярно отслеживать свои покупки».

Компания Magecart Overwatch обнаружила 1520 уникальных вредоносных доменов, причастных к заражению 9290 доменов электронной коммерции в 2022 году. Данные карт клиентов были слиты у более 1000 различных организаций. По данным исследователей, электронные скиммеры привели к тому, что в 2022 году 45,6 миллиона скомпрометированных записей платежных карт были выставлены на продажу на платформах даркнета.

Подробнее ознакомиться с принципом работы скиммеров можно в этой статье .