グリーンベイ・パッカーズは月曜日、顧客の決済情報を盗むことを目的とした悪意あるコードを発見したことを受け、公式オンライン小売店 packersproshop.com に影響するデータ侵害を公表した。
2024年10月下旬に特定されたこの侵害では、無許可の第三者によってカードスキマーのスクリプトが挿入され、チェックアウト時に入力された機微なデータが侵害された。
侵害された可能性のある情報には、氏名、請求先および配送先住所、メールアドレス、クレジットカードの種類、番号、有効期限、CVVコードが含まれる。2024年9月23〜24日および10月3〜23日に行われた取引が影響を受けた可能性がある。ただし、ギフトカード、PayPal、Amazon Pay、またはプロショップのウェブサイトアカウントを使用した支払いは影響を受けなかったと報告されている。
対応とセキュリティ対策
10月23日に侵害を発見した後、パッカーズはすべての支払いおよびチェックアウト機能を無効化し、サイバーセキュリティ専門家の支援を受けてフォレンジック調査を開始したと述べた。チームはまた、ウェブホスティングベンダーに対し、悪意あるコードの削除、パスワードの更新、そしてサイトがさらなる脆弱性に対して保護されていることの確認を求めた。
この侵害は当初、オランダのECセキュリティ企業Sansecによって特定され、攻撃者がJSONPのコールバック手法とYouTubeのoEmbed機能を組み合わせて、ウェブサイトのコンテンツセキュリティポリシー(CSP)を回避したと報告した。この手法により、機微な顧客データが外部サーバーへ不正に持ち出されることが可能になった。
NFLとファン保護の取り組みについて詳しく読む:CISAとNFLが協力し、スーパーボウルLVIIIを安全に
影響を受けた顧客を支援するため、パッカーズはExperianを通じて3年間のクレジット監視および個人情報盗難の復旧サービスを提供している。チームは、影響期間中に購入した人に対し、クレジットカード明細を確認して不正利用の兆候がないかを調べ、疑わしい取引があれば銀行および関係当局に報告するよう助言している。
「この侵害は、絶え間ない警戒、定期的なセキュリティ監査、そして進化する脅威に適応できる強固なセキュリティフレームワークの実装が必要であることを示す説得力のある事例だ」と、KnowBe4のリード・セキュリティ啓発アドボケイトであるJavvad Malikはコメントした。
「特に顧客の信頼が最重要となるECプラットフォームでは、セキュリティへの投資は規制要件であるだけでなく、事業の根本的な必要性でもある。」
このインシデントは、2023年に複数チームが同様の侵害を受けたことに続き、NFLを標的とするサイバー攻撃のより広範な傾向の一部である。
翻訳元: https://www.infosecurity-magazine.com/news/green-bay-packers-shop-data-breach/
