Société ZAGG Inc. informe les clients que leurs données de carte de crédit ont été exposées à des personnes non autorisées après que des pirates informatiques ont compromis une application tierce fournie par le fournisseur de commerce électronique de l’entreprise, BigCommerce.
ZAGG est un fabricant d’accessoires électroniques grand public connu pour ses accessoires mobiles, tels que des protecteurs d’écran, des étuis de téléphone, des claviers et des banques d’alimentation. La société basée dans l’Utah a un chiffre d’affaires annuel de 600 millions de dollars.
Selon la lettre envoyée aux personnes touchées, l’attaquant a violé l’application FreshClicks fournie par BigCommerce et injecté du code malveillant qui a volé les détails de la carte des acheteurs.
« Nous avons appris qu’un acteur inconnu avait injecté dans l’application FreshClick un code malveillant conçu pour récupérer les données de carte de crédit saisies dans le cadre du processus de paiement pour certains ZAGG.com transactions client entre le 26 octobre 2024 et le 7 novembre 2024. »- ZAGG
BigCommerce est un fournisseur de plate-forme de commerce électronique SaaS (software-as-a-service) basé à Austin, qui dessert un large éventail d’entreprises, des petites entreprises aux grandes entreprises, dans divers secteurs et régions.
FreshClick est une application tierce qui aide à créer des applications et des sites Web réactifs pour la plate-forme BigCommerce. Il est conçu pour améliorer la fonctionnalité des magasins électroniques et améliorer l’expérience client.
Bien que FreshClick ne soit pas développé directement par BigCommerce, il est proposé via le marché des applications de la plate-forme, qui est un espace organisé permettant aux commerçants de trouver et d’installer des modules complémentaires pour leurs boutiques.
Dans une déclaration pour Breachtrace, BigCommerce a souligné que ses systèmes n’avaient pas été violés ou compromis. À l’aide d’outils internes, BigCommerce a découvert que l’application FreshClicks avait été piratée et l’a désinstallée des magasins de ses clients.
« À l’aide de nos outils internes et en communication avec le partenaire, nous avons vérifié que l’application tierce FreshClicks était compromise. Agissant dans le meilleur intérêt de nos clients et de leurs acheteurs, nous avons immédiatement désinstallé l’application dans leurs magasins, ce qui a supprimé toutes les API et codes malveillants compromis » – BigCommerce
À la suite de cette violation de données, l’attaquant a volé les noms, adresses et données de carte de paiement appartenant aux acheteurs à zagg.com entre le 26 octobre et le 7 novembre 2024.
En réponse à cet incident, ZAGG a mis en œuvre des mesures correctives, informé les forces de l’ordre fédérales et les régulateurs, et organisé pour que les personnes touchées reçoivent un service gratuit de surveillance du crédit pendant 12 mois via Experian.
Les destinataires de la lettre ont également été invités à surveiller de près l’activité des comptes financiers, à placer des alertes de fraude et à envisager de geler le crédit.
ZAGG n’a pas encore révélé combien de clients ont été touchés par cette faille de sécurité.
La boutique de BigCommerce répertorie actuellement six modules complémentaires créés par FreshClick, qui ont collectivement 178 avis. Cependant, le plugin compromis peut avoir été temporairement supprimé.