شرکت ZAGG به مشتریان خود اطلاع میدهد که دادههای کارت اعتباری آنها در معرض دسترسی افراد غیرمجاز قرار گرفته است، پس از آنکه هکرها یک برنامه شخص ثالث را که توسط ارائهدهنده تجارت الکترونیک این شرکت، یعنی BigCommerce، ارائه شده بود، به خطر انداختند.
ZAGG یک تولیدکننده لوازم جانبی الکترونیکی مصرفی است که به دلیل لوازم جانبی موبایل خود، مانند محافظ صفحهنمایش، قاب گوشی، کیبورد و پاوربانک شناخته شده است. این شرکت که در ایالت یوتا مستقر است، سالانه ۶۰۰ میلیون دلار درآمد دارد.
بر اساس نامهای که به افراد تحت تأثیر ارسال شده است، مهاجم به برنامه FreshClicks که توسط BigCommerce ارائه شده بود، نفوذ کرده و کدی مخرب تزریق کرده است که جزئیات کارت خریداران را سرقت میکرد.
ZAGG بیان کرد : ما متوجه شدیم که یک عامل ناشناس کدی مخرب را در برنامه FreshClick تزریق کرده است. این کد مخرب بهگونهای طراحی شده بود که دادههای کارت اعتباری را که بهعنوان بخشی از فرآیند پرداخت برای برخی از تراکنشهای مشتریان ZAGG.com بین تاریخ ۲۶ اکتبر ۲۰۲۴ تا ۷ نوامبر ۲۰۲۴ وارد شده بود، استخراج کند.
BigCommerce یک ارائهدهنده پلتفرم تجارت الکترونیک مبتنی بر نرمافزار بهعنوان سرویس (SaaS) مستقر در آستین است که به طیف متنوعی از کسبوکارها، از شرکتهای کوچک گرفته تا شرکتهای بزرگ، در صنایع و مناطق مختلف خدمات ارائه میدهد.
FreshClick یک برنامه شخص ثالث است که به ایجاد برنامهها و وبسایتهای واکنشگرا برای پلتفرم BigCommerce کمک میکند. این برنامه برای افزایش قابلیتهای فروشگاههای الکترونیکی و بهبود تجربه مشتری طراحی شده است.
اگرچه برنامه FreshClick مستقیماً توسط BigCommerce توسعه داده نشده است، اما از طریق بازار اپلیکیشن این پلتفرم ارائه میشود؛ فضایی که بهصورت گزینشی طراحی شده است تا بازرگانان بتوانند افزونههای مورد نیاز فروشگاههای خود را پیدا کرده و نصب کنند.
در بیانیهای که منتشر شده است، شرکت BigCommerce تأکید کرد که سیستمهای آن مورد نفوذ یا به خطر افتادن قرار نگرفتهاند. با استفاده از ابزارهای داخلی، BigCommerce متوجه شد که برنامه FreshClicks هک شده و آن را از فروشگاههای مشتریان خود حذف کرده است.
با استفاده از ابزارهای داخلی خود و در ارتباط با شریک خود، ما تأیید کردیم که برنامه شخص ثالث FreshClicks دچار نقص امنیتی شده است. با اقدام در راستای منافع مشتریان و خریداران آنها، بلافاصله این برنامه را از فروشگاههایشان حذف کردیم، که این کار هرگونه API و کد مخرب را از بین برد.
بهعنوان نتیجه این نقض دادهها، مهاجم نامها، آدرسها و اطلاعات کارت پرداخت متعلق به خریداران در سایت zagg.com را بین تاریخ ۲۶ اکتبر و ۷ نوامبر ۲۰۲۴ سرقت کرد.
در پاسخ به این حادثه، ZAGG اقدامات اصلاحی را اجرا کرد، به مراجع قانونی فدرال و تنظیمکنندگان اطلاع داد و ترتیبی داد تا افراد آسیبدیده به مدت ۱۲ ماه بهصورت رایگان از خدمات نظارت بر اعتبار از طریق Experian بهرهمند شوند.
به دریافتکنندگان نامه همچنین توصیه شد که فعالیت حسابهای مالی خود را به دقت زیر نظر داشته باشند، هشدارهای تقلب قرار دهند و در نظر بگیرند که از مسدود کردن اعتبار خود استفاده کنند.
ZAGG هنوز اعلام نکرده است که چه تعداد مشتری از این نقض امنیتی آسیب دیدهاند.
در حال حاضر فروشگاه BigCommerce شش افزونه ایجاد شده توسط FreshClick را فهرست کرده است که مجموعاً ۱۷۸ بررسی دارند. با این حال، افزونه آسیبدیده ممکن است بهطور موقت حذف شده باشد.
