Boutique en ligne Casio France à casio.co.uk a été piraté pour inclure des scripts malveillants qui ont volé des informations sur les cartes de crédit et les clients entre le 14 et le 24 janvier 2025.
Tous les clients qui ont effectué des achats entre ces dates peuvent s’être fait voler leurs données personnelles et leurs données de carte de crédit par des pirates informatiques.
L’incident a été découvert par JSCrambler, qui a informé Casio le 28 janvier. Le script malveillant a été supprimé du site de Casino UK dans les 24 heures.
JSCrambler affirme que l’attaque a exploité les vulnérabilités de Magento et a également ciblé 17 autres sites Web. Les noms de l’autre société ne sont pas divulgués car les chercheurs travaillent avec les sites affectés pour éliminer les infections.
Détails d’opération
D’un point de vue technique, l’attaque utilise un simple skimmer de première étape planté sur le site Web, qui récupère dynamiquement le skimmer de deuxième étape auprès d’un hébergeur russe (ru-jsciot).
La deuxième étape est obscurcie à l’aide d’un encodage personnalisé et d’une dissimulation de chaîne basée sur XOR pour échapper à la détection.
Une fois que la victime a ajouté des articles à son panier virtuel, le skimmer a chargé un faux formulaire de paiement au lieu de les diriger vers la page de paiement réelle, comme le font la plupart des skimmers.
Le formulaire n’a pas été conçu pour correspondre au thème général du site Web de Casio UK, et il ne se déclenchera pas si vous cliquez sur « acheter maintenant », ce qui indique un manque de sophistication dans l’attaque.
Le formulaire malveillant est conçu pour voler les données sensibles du client, y compris l’adresse de facturation, l’adresse e-mail, le numéro de téléphone, le nom du titulaire de la carte de crédit, le numéro de carte de crédit, la date d’expiration de la carte de crédit et le code CVV de la carte de crédit.
Après avoir entré tous les détails, la victime reçoit une fausse erreur, puis est redirigée vers la page de paiement légitime de Casio UK pour terminer sa commande comme d’habitude.
Les données volées sont cryptées AES-256-CBC et exfiltrées vers le serveur de l’attaquant, qui, dans tous les cas observés, était une adresse IP russe.
JSCrambler commente que Casio avait mis en place des protections de stratégie de sécurité du contenu (CSP), qui devraient restreindre l’exécution de scripts malveillants sur le site Web, mais qu’elles étaient configurées de manière trop lâche.
« Casio UK avait une politique de sécurité du contenu (CSP) en place, mais elle était configurée en mode rapport uniquement (Content-Security-Policy-Report-Only) et n’était pas configurée pour signaler les violations (pas d’uri de rapport ou de directives de rapport) », explique JSCrambler.
« En conséquence, les violations CSP n’étaient enregistrées que dans la console du navigateur plutôt que d’empêcher activement l’attaque. »
Failles de sécurité de Casio
Le géant japonais de l’électronique et de l’horlogerie a récemment connu une période difficile avec de multiples violations de données et attaques par ransomware affectant divers départements et services.
Au début du mois dernier, l’entreprise a admis que l’attaque de ransomware qu’elle avait subie en octobre 2024, revendiquée par Underground, avait exposé les données personnelles d’environ 8 500 personnes.
Toujours en octobre, Casio a divulgué un incident de sécurité distinct au cours duquel un attaquant a accédé aux informations personnelles de ses clients de la plate-forme d’éducation ClassPad de 149 pays.