¿Qué sucedió con los datos de VisionDirect?

Credit Card

VisionDirect, un popular comerciante en línea de lentes de contacto en Europa, ha publicado un aviso que indica que su sitio web tuvo una violación de datos que llevó al robo de información de cuentas y tarjetas de crédito.

De acuerdo con la notificación, la información de cuenta y pago ingresada en el sitio entre el 3 de noviembre y el 8 de noviembre podría haber sido capturada y enviada a los atacantes. Estos datos incluyen toda la información de la cuenta, como direcciones de facturación, números de teléfono e información de tarjetas de crédito.

"La información personal se vio comprometida cuando se ingresó en el sitio e incluye el nombre completo, la dirección de facturación, la dirección de correo electrónico, la contraseña, el número de teléfono y la información de la tarjeta de pago, incluido el número de la tarjeta, la fecha de caducidad y el CVV", declaró el aviso.

VisionDirect declaró que las credenciales de pago de PayPal no se habrían robado.

Este ataque solo afectó a los visitantes que iniciaron sesión en sus cuentas e ingresaron o actualizaron la información de su cuenta durante el período afectado. Los usuarios que simplemente visitaron el sitio o utilizaron la información de facturación de la tienda no se habrían visto afectados.

VisionDirect dijo que contactarán a todos los clientes afectados en los próximos días.

El compromiso fue causado por la secuencia de comandos de MageCart
Esta violación de datos fue causada por un ataque de MageCart, que es cuando los atacantes agregan JavaScript malicioso a un sitio que captura el pago y la información de la cuenta cuando se ingresa en un formulario o se envía.

En este ataque en particular, se agregó una secuencia de comandos a varios dominios de VisionDirect que pretendían ser Google Analytics.

Eso es exactamente lo que era. Los datos fueron robados mediante un script falso de Google Analytics: https: // g-analytics [.] Com / libs / 1.0.16 / analytics.js: puede ver una copia de JS a través del archivo @urlscanio de https: / /t.co/TV22dxvCcK https://t.co/SFi5Wp4gm3 pic.twitter.com/rY13cMR2TL

- Informe de paquetes defectuosos (@bad_packets) 18 de noviembre de 2018
Si bien el script es muy similar al código normal de Google Analytics, el dominio g-analytics [.] Com no es realmente propiedad de Google. En su lugar, este dominio es propiedad de los atacantes que lo utilizan para almacenar la tarjeta de crédito y la información de la cuenta robada.

Malicious script pretending to be Google Analytics

El investigador de seguridad Willem de Groot le dijo a BleepingComputer que había descubierto que este dominio se estaba usando en los ataques de MageCart a principios de septiembre.

"En este caso, la infracción está relacionada con varios dominios de exfiltración de pagos que vimos anteriormente, como g-statistic .com, google-anaiytic .com, msn-analytics .com"

De Groot afirmó además que, aunque el aviso solo menciona a visiondirect.co.uk, los dominios de otros países también se vieron afectados.

Si bien el script está muy ofuscado, una parte que contiene una lista de cadenas utilizadas por el script se decodificó fácilmente. En la siguiente secuencia de comandos puede ver varias cadenas que se están monitoreando, como el pago, la verificación, la administración, el inicio de sesión, la contraseña, la cuenta y los envíos de carrito.

Decoded Strings

Recientemente informamos que la tienda en línea de Infowars.com también está comprometida con un ataque de MageCart. En ese ataque, el script malicioso también se hacía pasar por Google Analytics, pero en su lugar usaba el dominio google-analyitics [.] Org. Si bien el método de ataque es similar, el script en sí es bastante diferente.

Cuando BleepingComputer le preguntó a De Groot si había alguna conexión entre estos atacantes y el que atacó a InfoWars, dijo que no había forma de concluir que eran el mismo grupo.

"Podría ser, pero no he encontrado otros puntos en común hasta el momento", dijo De Groot a BleepingComputer. "Ciertamente usan diferentes tipos de malware. Lo siento, veo que sería bueno si pudiera vincularlos. Pero no puedo decirlo con seguridad".

Alex Jones, el propietario de Infowars, sintió que sus atacantes eran la China comunista, "Big Tech" y el partido demócrata de los Estados Unidos.

BleepingComputer se comunicó con VisionDirect con respecto a esta violación, pero no había recibido respuesta al momento de esta publicación.

(0 votes)