【译】计算机和硬件零售商Newegg新蛋网泄露数百万信用卡信息

xiannv 2137天前

继英国航空公司遭入侵和Ticketmaster数据泄露事件之后，信用卡再次被MageCart恶意脚本攻击，但这次是针对最大的在线技术零售商之一的Newegg。

根据Volexity和RiskIQ的联合分析，Magecart黑客组织设法渗透到Newegg网站并窃取了在2018年8月14日至9月18日期间输入支付卡信息的所有客户的信用卡详细信息。

Magecart黑客使用了研究人员称之为数字信用卡窃取器，他们在Newegg网站的结账页面插入了几行恶意ja vasc ript代码，这些网页捕获了在网站上进行购买的客户的付款信息，然后将其发送到远程服务器。

根据报道，Magecart黑客组织于8月13日注册了一个名为neweggstats.com的域名，类似于Newegg的合法域名newegg.com，并获得了Comodo为其网站发布的域名SSL证书。该域名被用作放置从Newegg网站窃取并收集的信用卡详细信息的网站。

由于Newegg是技术组件、计算机和硬件领域最大的在线零售商之一，受此漏洞影响的受害者数量可能非常庞大。

MageCart如何窃取Newegg的信用卡信息

当用户在Newegg购买商品时，他们会被要求输入他们的送货信息，然后继续到他们输入付款信息的第二页。在结帐流程的第二页，Newegg从客户收集付款信息，注入了下面显示的15行MageCart脚本。

当页面加载时，脚本会将自己绑定到用户输入信用卡详细信息后按下的按钮。按下此按钮时，脚本将获取表单的内容，将其转换为JSON，然后将其上载到https://neweggstats.com/GlobalData页面，而不会中断结账过程。

但是，这个neweggstats.com网站并不归Newegg所有，而是由攻击者操作。这使得他们可以窃取在网站遭到黑客攻击的月份内从Newegg购买商品的客户的信用卡详细信息。

但是，对于用户而言，他们只会继续购买，就像没有发生任何事情一样。

这次攻击影响了桌面和移动客户，但目前尚不清楚有多少客户实际受到此信用卡违规行为的打击。

然而，考虑到每月有超过5000万购物者访问Newegg并且恶意代码存在超过一个月，可以假设这个Magecart最新的信用卡信息窃取活动可能会窃取数百万Newegg客户的付款信息，即使只有一小部分访客购物。

本月早些时候，Magecart黑客组织突破了英国航空公司的网站及其移动应用程序，并设法从380,000名受害者处获得了大量敏感的支付卡数据。

RiskIQ的研究人员说：“英国航空公司事件中可以识别出掠夺者代码[在Newegg漏洞中使用]，具有相同的基本代码。”

“所有攻击者都改变了它需要序列化以获取支付信息的形式的名称以及发送给它的服务器，这次以Newegg为主要目标而不是英国航空公司。”

在Newegg案例中，黑客使用较小的“整理15行脚本”的撇取器代码，因为它只需要序列化一个表单。

如果您是在攻击期间在网站上输入信用卡详细信息的Newegg客户之一，您应立即联系您的银行，禁用您的支付卡，并要求更换。

然而，Magecart通过相对较少的努力从流行服务中获取支付卡数据的方式表明Newegg可能不会成为其最后目标。

随着越来越多使用像MageCart这样的脚本窃取信用卡详细信息，Bleeping Computer向RiskIQ研究员Yonathan Klijnsma询问电子商务网站运营商如何更好地保护自己免受这些类型的恶意脚本攻击。

Klijnsma告诉BleepingComputer，“保护非常困难，主要是因为他们通常采取任何可以获得的途径。”

话虽如此，Klijnsma在推特上发布了一些配置付款表单和提交流程的方法，以使像MageCart这样的脚本更难以窃取付款细节。

对#magecart进行非常简单的防范，使他们更难以提取客户的支付数据：

随机化表单并输入字段名称/ ID。在处理结帐时，使用服务器上的会话信息将它们映射回来。
- Yonathan Klijnsma（@ydklijnsma），2018年9月19日

Newegg已经开始向他们的客户发送电子邮件，为违规行为道歉并解释发生的事情。根据Newegg Danny Lee发送的电子邮件，该公司将创建一个关于此攻击行为的常见问题解答，并在周五之前将其发布在他们的网站上。

◆本文版权归原作者所有，如有侵权请联系我们及时删除

数据库威胁情报信息泄露漏洞