Un détaillant en ligne de métaux précieux a révélé qu’il avait été victime d’une importante violation de données.
JM Bullion, qui vend de l’or, de l’argent, du cuivre, du platine et du palladium, a été victime d’une cyberattaque en février qui n’a été découverte qu’en juillet. On ne sait pas pourquoi le piratage n’est que divulgué publiquement.
Ce type d’attaque est connu sous le nom de MageCart et fonctionne en plaçant des lignes de code JavaScript malveillant dans un site Web. Ensuite, lorsqu’un individu entre des informations de paiement, le code les redirige vers un serveur externe exploité par le pirate informatique.
« Le 6 juillet 2020, JM Bullion a été alerté d’une activité suspecte sur son site Web. JM Bullion a immédiatement ouvert une enquête, avec l’aide d’un expert médico-légal tiers, pour évaluer la nature et la portée de l’incident », a envoyé un avis aux clients de JM Bullion lire.
«Grâce à une enquête, il a été déterminé qu’un code malveillant était présent sur le site Web du 18 février 2020 au 17 juillet 2020, ce qui avait la capacité de capturer les informations client entrées sur le site Web dans des scénarios limités lors d’un achat.
Sommaire
Cinq mois
Potentiellement, cette violation aurait pu faire tomber entre de mauvaises mains des informations extrêmement sensibles, notamment les noms des clients, les adresses et même les informations de paiement. Le code malveillant n’a été supprimé du site Web de JM Bullion que le 17 juillet, ce qui signifie qu’il était présent pendant cinq mois stupéfiants.
Les responsables de l’application de la loi ont été informés de la violation et quiconque a acheté des articles sur le site Web de JM Bullion entre le 18 février et le 17 juillet a été invité à surveiller ses relevés bancaires pour vérifier les activités frauduleuses.
Bien qu’il n’y ait pas encore eu de rapports d’activité malveillante résultant du piratage, JM Bullion a enregistré des ventes de plus de 3 milliards de dollars au cours des huit dernières années. Si des cyberattaquants utilisent des informations d’identification mal obtenues pour mener des activités frauduleuses, cela pourrait devenir une violation de données extrêmement coûteuse pour l’entreprise et ses clients.
Via un ordinateur Bleeping
