Compromessi gli e-commerce della Warner Music: probabile furto di carte di credito

La Warner Music Group (WMG) ha scoperto un data breach che ha riguardato le informazioni personali e finanziarie di decine di store e-commerce statunitensi: i siti e-commerce sono stati violati nell'Aprile 2020 con quello che sembra, a tutti gli effetti, un attacco MageCart. Il rischio quindi di aver subito il furto di dati personali e finanziari riguarda quindi milioni di utenti, non solo statunitensi: la WMG ha avvertito che tutti coloro che hanno inserito informazioni sui loro store online possono aver subito il furto dati ad opera di una terza parte non autorizzata e tutt'ora sconosciuta. 

MageCart:  cos'è in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantochè la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero "il carrello dei maghi". 

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot ecc...) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell'attacco, tecnicamente definito come "web skimming": il Javascript resta attivo sull'e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poichè le violazioni MageCart sono molto difficili da individuare. 

Gli store Warner Music compromessi da Aprile

La WMG ha inviato una comunicazione ad ognuno degli utenti potenzialmente riguardati dal breach: comunicazione nella quale l'azienda spiega di aver scoperto in data 5 Agosto la violazione non autorizzata, ad opera di una terza parte sconosciuta, di una serie di siti web e-commerce che operano per WMG, anche se ospitati e supportati da un provider esterno. Questo accesso ha "potenzialmente consentito  alla terza parte non autorizzata di acquisire copie delle informazioni personali inserite tra il 25 Aprile e il 5 Agosto 2020 nei siti web compromessi ". 

Tra le informazioni potenzialmente sottratte ci sono nomi e cognomi, indirizzi email, numeri di telefono, indirizzi di fatturazione, indirizzi di spedizione e dettagli della carta di credito (numero CVC/CVV, data di scadenza). Tuttavia l'azienda ha dichiarato che invece non sono stati violati i dati inseriti sui siti web compromessi tramite il form di pagamento di PayPal. 

Le indagini sul breach sono comunque in corso, nel frattempo la WMG ha deciso di offrire 12 mesi di servizio gratuito di monitoraggio dell'identità a coloro che sono stati potenzialmente riguardati dal breach, invitando comunque gli utenti che hanno ricevuto la comunicazione a restare vigili e verificare ogni pagamento o comunicazione email sospetta. L'azienda si è però rifiutata di fornire alla stampa l'elenco dei siti web compromessi.