Hackerati più di 6500 store online compromessi con tecniche di card skimming, tra questi il sito Sesame Street Live Store è uno tra i molti clienti di Volusion.
Lo store online di Sesame Street, il merchandising dove i fan dello spettacolo per bambini acquistano
merce, è stato compromesso insieme a migliaia di altri siti web di e-commerce ospitati su Volusion.
Gli hacker hanno violato Volusion, un provider che fornisce l’infrastruttura cloud per i negozi online, e inserito codice dannoso, denominato “JavaScript Cookie”, per rubare i dati delle carte di credito forniti dagli utenti in molti dei siti associati alla piattaforma.
Più di 6.500 store sono interessati, ma la vittima con la compromissione più grave è stata il negozio online Sesame Street Live.
Il codice dannoso è stato trovato nel software del carrello creato da Volusion, ed è stato individuato da un ricercatore della società di sicurezza Check Point mentre acquistava online giocattoli su Sesame Street Live.
In un post condiviso sul blog, ha scritto: “apparentemente sembra un codice che gli sviluppatori hanno
preso da una qualsiasi libreria open source”, il quale estrae i dati della carta di credito dalle pagine interessate. “La compromissione non è solo per Sesame Street Store, molto probabilmente anche per qualsiasi altro sito di e-commerce ospitato su Volusion dove probabilmente viene eseguito il codice dannoso pubblicando le informazioni sulla carta di credito dei consumatori in un dominio esterno” .
Un portavoce di Volusion ha confermato in una dichiarazione alla BBC e a CyberScoop che il
problema, che riguardava ciò che è stato descritto con la sigla “V1”, è stato risolto entro
poche ore dalla notifica. “Abbiamo preso le misure appropriate per proteggere i nostri account dei clienti. Stiamo continuando a monitorare l’evento per garantire la sicurezza dei nostri clienti”.
La conferma è giunta anche dai ricercatori dalla società di sicurezza informatica di Trend Micro.
Fonti: Usejournal, Trend Micro