Stało się tak w wyniku zainfekowania złośliwym oprogramowaniem strony internetowej, na której klienci dokonują zakupów. AeroGrow International to firma zajmująca się handlem elektronicznym, najnowsza ofiara poważnego naruszenia danych.
AeroGrow powiadomiła listownie swoich klientów oraz Kalifornijskie Biuro Prokuratora Generalnego. Stan taki utrzymuje się przez ponad cztery miesiące. Do wstrzyknięcia złośliwego kodu wykorzystano prawdopodobnie lukę w zabezpieczeniach strony.
Klienci, którzy między 29 października 2018 r a 4 marca 2019 r. kupili zestawy ogrodnicze AeroGarden, posługując się koszykiem zakupów na stronie internetowej firmy, mogli zostać dotknięci oszustwem i mogą padać ofiarą dalszych prób oszustwa w przyszłości.
W wymienionym okresie hakerzy wykradli numery kart kredytowych, terminy ważności kart oraz kody bezpieczeństwa, co może im bardzo ułatwić popełnianie oszustw. Klienci powinni natychmiast sprawdzić historię płatności kartą kredytową, aby upewnić się, że nie doszło do podejrzanych transakcji.
AeroGrow zapewnił klientów, że złośliwy kod nie naraził na szwank ich danych osobowych, takich jak numery ubezpieczenia społecznego (pełniące w USA również rolę identyfikatorów systemu ewidencji ludności), numery PIN, numery prawa jazdy i informacje o stanie konta.
Nie opublikowano liczby dotkniętych incydentem klientów. Firma współpracuje z organami ścigania, celem wyjaśnienia przebiegu zdarzenia i ograniczenia konsekwencji
Jedyne, co firma może teraz zrobić dla swoich klientów, to zaoferować im np.: bezpłatny monitoring kredytów. Ponieważ jednak jest to już drugi przypadek naruszenia kart kredytowych klientów, na pewno należy oczekiwać wdrożenia skuteczniejszego systemu zabezpieczeń – mówi Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe (https://bitdefender.pl)
Według SecurityWeek, do innego naruszenia kart płatniczych doszło w AeroGrow w 2015 r., gdy złośliwe oprogramowanie pozostawało niewykryte w firmowej sieci przez ponad sześć miesięcy i spowodowało wyciek takich danych, jak imiona i nazwiska, adresy, numery kart płatniczych, ich terminy ważności i kody weryfikacyjne.
Źródło: Marken