知名电子配件制造商 ZAGG 近日摊上大事了!由于其电商平台 BigCommerce 提供的第三方应用 FreshClick 遭到黑客入侵,导致在 2024 年 10 月 26 日至 11 月 7 日期间,在 ZAGG 官网 (zagg.com) 购物的客户信用卡数据被泄露!
祸起第三方应用 FreshClick,黑客注入恶意代码窃取支付信息
ZAGG 在发给受影响客户的信件中解释称,攻击者入侵了 BigCommerce 提供的 FreshClick 应用,并注入了恶意代码。该恶意代码旨在窃取客户在 ZAGG.com 结账过程中输入的信用卡数据。
BigCommerce 是一个知名的软件即服务 (SaaS) 电商平台提供商,为各行各业、不同规模的企业提供服务。FreshClick 是一款第三方应用,旨在帮助商家在 BigCommerce 平台上创建应用和响应式网站,增强电商网站的功能并提升客户体验。
尽管 FreshClick 并非由 BigCommerce 直接开发,但它在 BigCommerce 的应用市场 上架,商家可以在该市场中找到并安装各种插件来增强其店铺的功能。
BigCommerce 撇清关系,强调自身系统未受影响
BigCommerce 在给媒体的一份声明中强调,其自身系统并未遭到入侵或破坏。BigCommerce 使用内部工具发现 FreshClick 应用被黑,并立即将其从客户的商店中卸载。
“我们使用内部工具并与合作伙伴沟通,确认第三方 FreshClick 应用已被入侵。为了维护我们的客户及其购物者的最佳利益,我们立即在他们的商店中卸载了该应用,从而删除了所有受感染的 API 和恶意代码。” - BigCommerce
用户信息泄露,姓名、地址、支付卡数据无一幸免
由于此次数据泄露事件,攻击者窃取了 2024 年 10 月 26 日至 11 月 7 日期间在 zagg.com 购物的客户的 姓名、地址和支付卡数据。
ZAGG 采取补救措施,并提供免费信用监控服务
为了应对此次事件,ZAGG 采取了补救措施,并通知了联邦执法部门和监管机构。ZAGG 还为受影响的客户安排了由 Experian 提供的 12 个月的免费信用监控服务。
ZAGG 还建议受影响的客户密切监控其财务账户活动、设置欺诈警报,并考虑冻结信用。
ZAGG 尚未披露受此次安全事件影响的客户数量。
BigCommerce 应用市场目前列出了由 FreshClick 创建的六个插件,总共有 178 条评论。然而,被入侵的插件可能已被暂时移除。
安全警示:供应链安全不容忽视!
此次事件再次凸显了 供应链安全 的重要性。即使是像 ZAGG 这样的大公司,也可能因为第三方应用的漏洞而遭受数据泄露。
我们建议:
- 消费者:
密切关注自己的信用卡账单,及时发现异常交易。考虑使用虚拟信用卡进行在线支付,降低风险。 - 电商平台:
加强对第三方应用的审核和监管,确保其安全性。 - 企业:
定期审查其使用的第三方服务,并评估其安全风险。
网络安全形势严峻,任何环节都不能掉以轻心!
原文始发于微信公众号(技术修道场):ZAGG 遭殃!第三方应用被黑,客户信用卡信息被盗!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论