カーマウントおよびモバイルアクセサリのメーカーである iOttie は、同社のサイトがほぼ 2 か月間にわたって侵害され、オンライン買い物客のクレジット カードと個人情報が盗まれたと警告しています。
iOttie は、モバイル デバイスのカー マウント、充電器、アクセサリの人気メーカーです。
昨日発行された新たなデータ侵害通知の中で、iOttie は、同社のオンライン ストアが 2023 年 4 月 12 日から 6 月 2 日の間に悪意のあるスクリプトによって侵害されたことを 6 月 13 日に発見したと述べています。
「犯罪的な電子スキミングは2023年4月12日から2023年6月2日まで発生したと考えています。しかし、2023年6月2日のWordPress/プラグインの更新中に、悪意のあるコードは削除されました」とiOttieのデータ侵害通知は警告しています。
「それにもかかわらず、彼らはオンラインでwww.iOttie.comで当社の顧客の製品を購入するためにあなたのクレジットカード情報を入手した可能性があります。」
iOttieは影響を受けた顧客の数を明らかにしていないが、名前、個人情報、金融口座番号、クレジットカード番号、デビットカード番号、セキュリティコード、アクセスコード、パスワード、PINなどの支払い情報が盗まれた可能性があると述べた。
このタイプの攻撃は MageCart として知られており、攻撃者がオンライン ストアをハッキングして、チェックアウト ページに悪意のある JavaScript を挿入します。買い物客がクレジット カード情報を送信すると、スクリプトは入力されたデータを盗み、脅威アクターに送信します。
このデータは、金融詐欺や個人情報の盗難に使用されたり、ダーク Web マーケットプレイスで他の攻撃者に販売されたりすることがあります。
この攻撃で詳細情報が暴露される可能性があるため、4 月 12 日から 6 月 2 日までに製品を購入したすべての iOttie 顧客は、クレジット カードの明細書と銀行口座に不正行為がないか監視する必要があります。
iOttie はどのように侵害されたのかを明らかにしていないが、同社のオンライン ストアは WooCommerce 販売プラグインを備えた WordPress サイトです。
WordPress は、脅威アクターによって最も一般的に標的にされる Web サイト プラットフォームの 1 つであり、サイトの完全な乗っ取りや WordPress テンプレートへの悪意のあるコードの挿入を可能にする脆弱性がプラグインによく見つかります。
iOttie がプラグインのアップデートによって悪意のあるコードが削除されたことを明らかにしたため、ハッカーは WordPress プラグインの 1 つの脆弱性を利用してサイトに侵入した可能性があります。
最近、攻撃者は、 Cookie 同意バナー、アドバンスト カスタム フィールド、 Elementor Proなど、さまざまな WordPress プラグインの脆弱性を悪用しています。
Comments