アメリカンフットボールチームのグリーンベイ・パッカーズは、10月に脅威者が公式オンラインストアをハッキングし、顧客の個人情報と決済情報を盗むためにカードスキマースクリプトを注入したことをファンに通知している。
ナショナルフットボールリーグチームは、10月23日にpackersproshop.comウェブサイトが侵害されたことを発見した後、直ちにすべてのチェックアウトと支払い機能を無効にしたと述べている。
「2024年10月23日、私たちは、第三者の脅威行為者によってプロショップのウェブサイトに挿入された悪意のあるコードの存在を警告されました」と、パッカーズのリテール・オペレーション・ディレクターであるクリスタ・ヨルゲンセンは、影響を受ける可能性のある個人に送られた侵害通知書の中で説明している。「このことを知った直後、私たちはプロショップのウェブサイト上のすべての支払いとチェックアウトの機能を一時的に無効にし、調査を開始しました。
NFLチームはまた、外部のサイバーセキュリティ専門家を雇い、事件の影響を調査し、顧客情報がアクセスされたかどうかを突き止めた。
調査の結果、チェックアウトページに挿入された悪質なコードによって、9月下旬から2024年10月上旬の間に個人情報や支払い情報が盗まれる可能性があることが判明した。しかし、パッカーズによると、攻撃者はギフトカード、プロショップのウェブサイトアカウント、ペイパル、アマゾンペイを利用した支払いの情報を傍受することはできなかったという。
「我々はまた、プロショップのウェブサイトをホストし、管理しているベンダーに、チェックアウトページから悪意のあるコードを削除し、パスワードをリフレッシュし、脆弱性が残っていないことを確認するよう直ちに要求しました」とJorgensen氏は付け加えた。
“フォレンジック調査の結果に基づき、2024年12月20日、悪意のあるコードによって、2024年9月23日から24日と2024年10月3日から23日の間に、プロショップのウェブサイトで限定された支払いオプションのセットを使用したチェックアウト時に入力された特定の顧客情報を、権限のない第三者が閲覧または取得できた可能性があることが判明しました。”
Packers社に情報漏洩を通知したオランダのeコマースセキュリティ会社Sansec社は、スキミング攻撃がJSONPコールバックとYouTubeのoEmbed機能を使用してコンテンツセキュリティポリシー(CSP)をバイパスしていることを発見した。
「この攻撃では、https://js-stats.com/getInjector からスクリプトが注入されました。このスクリプトは、サイト上の入力フィールド、選択フィールド、textareaフィールドからデータを取得し、取得した情報をhttps://js-stats.com/fetchData。
![JSONP exploitation](https://www.bleepstatic.com/images/news/u/1109292/2025/packers.png)
今回の侵害で影響を受けた個人情報および決済データには、名前、住所(請求先および配送先)、電子メールアドレス、クレジットカードの種類、番号、有効期限、確認番号など、購入時にプロショップのウェブサイトで入力された情報が含まれる。
パッカーズは、このデータ侵害によって影響を受けた顧客数や、脅威者がどのようにしてプロショップのウェブサイトにハッキングし、カードスキマースクリプトを注入したのかについては、まだ明らかにしていない。
NFLチームは現在、この情報漏えいの影響を受けた顧客に対し、エクスペリアンを通じて3年間のクレジット・モニタリングと個人情報盗難復旧サービスを提供し、不正行為がないか口座明細を監視するよう助言している。
なりすましや詐欺の疑いのある行為を目撃した人は、直ちに銀行や、各州の司法長官、連邦取引委員会(FTC)などの関係当局に報告する必要がある。
2年前にも、サンフランシスコ49ersは、2022年2月にサイバー犯罪組織Blackbyteが主張するランサムウェア攻撃で個人情報(社会保障番号を含む)が盗まれたことを2万人以上に通知している。
更新 1月7日 09:33 EST:Sansecからの攻撃の詳細を追加。
Comments