全球知名室内花卉公司AeroGrow被曝出支付卡数据泄露事件

帮助客户建立室内花园系统的大型公司AeroGrow近期被曝出发生了支付卡数据泄露事件，极大影响了公司的正常运行。

AeroGrow发布的一份通报中写道：“在2019年3月4，AeroGrow了解到，有未经授权的入侵者通过往付款页面注入恶意代码来窃取用户的支付卡信息。在得知此事件后，我们立即删除了服务器上的恶意代码，以确保网站安全。”

这个通报还被送到加利福尼亚州检察长办公室。AeroGrow发现攻击者在网站的支付页面注入了一套恶意代码（software skimmer）以非法获取其他用户的支付信息，恶意代码的影响区间为2018年10月29日到2019年3月4日。

此次发现的恶意代码能够在其他用户支付过程中记录下卡号，有效期和客户提供的CVV/CCV代码。

至于社保号码，卡片密码以及其他敏感信息由于AeroGrow并不需要客户填写，所以暂时不会受到影响。

该公司宣布已采取一系列服务器保护措施，并将通过Experian为受影响的用户提供为期一年的免费身份保护服务。

“AeroGrow非常重视你的支付卡信息安全。我们已通知执法部门并将配合他们的调查，并以最快的速度通知每位用户。”

“此外，我们已采取更多的安全措施限确保类似事件不再发生制再次发生，我们聘请了第三方专家对我们的内部系统进行彻底审查。出于谨慎的考虑，AeroGrow通过Experian（全美三家信用监控机构一）免费为你提供为期一年的身份保护服务。“

此前，AeroGrow也报告过一起发生在2015年的支付卡犯罪行为，攻击者也是利用恶意代码去窃取其他用户的支付卡信息。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/83522/data-breach/aerogrow-payment-card-breach.html