アメリカン・フットボール・チームのグリーンベイ・パッカーズは、9月に発生した公式プロショップ・オンライン小売店への侵入事件で、サイバー犯罪者が8,500人以上の顧客のクレジットカード情報を盗んだと発表した。
ナショナル・フットボール・リーグ(NFL)のチームは、10月23日にpackersproshop.comのウェブサイトが侵害されたことを通知された後、今週影響を受けた個人に送られた侵害通知書の中で、直ちにすべてのチェックアウトと支払い機能を無効にしたと述べた。
手紙では影響を受けた顧客の数を共有していなかったが、フットボールチームは月曜日にメイン州司法長官に提出した書類の中で、この事件は8514人に影響を与えたと述べた。
追跡調査の結果、攻撃者は同店のチェックアウトページにクレジットカード窃盗ソフトを仕込み、個人情報と決済情報を収集していたことが判明した。しかし、パッカーズは、攻撃者はギフトカード、プロショップのウェブサイトのアカウント、ペイパル、アマゾンペイを使用して行われた支払いの情報を傍受することはできなかったと述べた。
「我々はまた、プロショップのウェブサイトをホストし、管理しているベンダーに、チェックアウトページから悪意のあるコードを削除し、パスワードをリフレッシュし、脆弱性が残っていないことを確認するよう直ちに要求しました」とパッカーズのChrysta Jorgensenリテールオペレーションディレクターは説明した。
“フォレンジック調査の結果に基づき、2024年12月20日、私たちは悪意のあるコードによって、2024年9月23日~24日と2024年10月3日~23日の間にプロショップのウェブサイトで限定された支払いオプションを使用したチェックアウト時に入力された特定の顧客情報を、権限のない第三者が閲覧または取得できた可能性があることを発見しました。”
この情報漏洩は、氏名、住所(請求先および配送先)、電子メールアドレス、クレジットカードの種類と番号、カードの有効期限、クレジットカード認証番号(CVV)を含む、プロショップのウェブサイトでチェックアウト時に入力された情報に影響を与えた。
しかし、10月初旬にPackersストアの侵害を発見したオランダのeコマースセキュリティ企業Sansecは、カードスキミング攻撃がYouTubeのoEmbed機能とJSONPコールバックを使用してコンテンツセキュリティポリシー(CSP)をバイパスしていることを発見しました。
この攻撃では、https://js-stats.com/getInjector からスクリプトが注入されました。このスクリプトは、サイト上の入力フィールド、選択フィールド、および textarea フィールドからデータを取得し、取得した情報を https://js-stats.com/fetchData に流出させました」と、Sansec は12 月 31 日のレポートで述べています。
NFLチームは、被害に遭った人々に対し、エクスペリアンを通じて3年間の個人情報盗難復旧と信用監視サービスを提供し、口座明細に不正行為がないか追跡するよう助言している。
なりすましや詐欺の試みを目撃した人は、銀行や連邦取引委員会(FTC)、州司法長官などの適切な当局に報告する必要がある。
2022年9月、サンフランシスコ・49ersもまた、後にBlackbyteランサムウェア集団が主張する2022年2月の侵害で、攻撃者が個人情報(社会保障番号を含む)を盗んだことを2万人以上に通知した。
Comments