[ad_1]

Plus tôt ce mois-ci, j’ai publié une histoire sur un gang de piratage criminel utilisant Adobe Cold Fusion vulnérabilités pour créer un botnet de sites de commerce électronique piratés qui ont été exploités pour les données de carte de crédit des clients. L’article d’aujourd’hui examine l’impact que ce botnet a eu sur plusieurs entreprises, ainsi que les leçons importantes et coûteuses que ces entreprises ont tirées des intrusions.

cffailL’histoire de mardi dernier portait sur deux victimes; le fabricant de confitures et de gelées Smucker’set SecurePay, un processeur de carte de crédit basé en Géorgie. La plupart des entreprises contactées pour cette histoire n’ont pas répondu aux demandes de commentaires. Les quelques entreprises répertoriées qui ont répondu avaient des histoires remarquablement similaires à raconter sur l’épreuve d’essayer de maintenir leurs entreprises en activité face à de telles intrusions. Chacun d’eux a appris des leçons importantes dont toute petite entreprise en ligne serait avisée de tenir compte à l’avenir.

Les deux sociétés qui ont accepté de parler avec moi étaient toutes deux des sociétés d’éclairage, et toutes deux ont été informées pour la première fois de la compromission de leur site après que la société de cartes de crédit Discover ait alerté leurs processeurs de cartes d’un schéma d’activité frauduleuse sur des cartes récemment utilisées dans les magasins.

Elightbulbs.com, une société basée à Maple Grove, dans le Minnesota, qui vend des produits d’éclairage, figurait parmi celles répertoriées dans le panneau de botnet ColdFusion. Vice-président d’Elightbulbs.com Paul McLellan a déclaré avoir appris l’existence de la violation le 7 novembre 2013 par le processeur de son entreprise – Systèmes de paiement Heartland.

lumière

McLellan a déclaré que les vulnérabilités ColdFusion non corrigées sur le site de la société étaient certainement un oubli flagrant. Mais il a dit qu’il était frustré que son entreprise ait payé plus de 6 000 $ par an à une entreprise tierce de conformité en matière de sécurité pour tester les vulnérabilités d’Elightbulbs.com et que l’entreprise ait également raté les failles de ColdFusion.

« Peu de temps avant que Heartland nous le dise, nous avons payé 6 000 $ par an pour qu’une entreprise brutalise notre serveur, pour la protection et la tranquillité d’esprit », a déclaré McLellan. « Il s’avère que cette faille existait depuis deux ans et qu’ils ne l’avaient jamais vue.

McLellan a déclaré que l’entreprise avait reçu la visite du FBI l’année dernière, et l’agent a déclaré que le groupe responsable de frapper Elightbulbs avait compromis des cibles beaucoup plus médiatisées.

« L’enquêteur du FBI a dit : ‘Hé, ne te culpabilise pas. Nous avons des processeurs de cartes de crédit et des institutions gouvernementales qui exécutent ColdFusion qui ont été piratés, c’est de la petite pomme de terre », a déclaré McLellan. « C’était une petite consolation. »

En fin de compte, elightbulbs.com a choisi de retirer la cible de son dos en externalisant le traitement des cartes de crédit sur son site à allow.net, une société de traitement tierce spécialisée dans la sécurisation des transactions de commerce électronique.

« Moi-même et mon directeur informatique avons conclu un pacte selon lequel nous n’allons jamais revenir aux cartes de recharge sur notre serveur, que nous allions retirer le site de l’équation », a déclaré McLellan. « Au début, je pensais que cela détournerait des clients, mais les gens ne semblent pas se soucier de l’étape supplémentaire. Et pour moi, je m’endors la nuit en sachant que je protège les données de mes clients. Personnellement, je ne recommencerai jamais à prendre [credit cards] sur le site. C’est déjà assez difficile de gérer une petite entreprise, et je ne veux pas que le vol de carte de crédit soit l’une des choses dont je dois constamment m’inquiéter.

kichler

Kichlerlightinglights.com était un autre magasin d’éclairage piégé par le botnet ColdFusion. Le propriétaire de l’entreprise, Gary Fitterman, a déclaré que la violation avait coûté énormément de temps et d’argent à son entreprise.

« C’était comme être attaqué par des terroristes », a déclaré Fitterman. « Quand nous avons appris ce qui s’était passé, nous sommes immédiatement entrés dans une frénésie, avons dépensé une tonne d’argent pour obtenir [forensics experts] pour jeter un coup d’œil.

En fin de compte, Fitterman et son équipe ont également choisi de sous-traiter le traitement des cartes de crédit à un tiers, estimant que cela ne valait pas la peine de continuer à le gérer en interne.

« Maintenant, nous pouvons simplement nous concentrer sur la croissance de notre entreprise, plutôt que de toujours rattraper notre retard pour nous assurer que nous avons les derniers et les meilleurs », a déclaré Fitterman. « Ça ne vaut pas le risque. Je ne pense pas qu’il y ait autant d’informations disponibles pour informer les petites entreprises comme moi de tout ce que vous devriez savoir avant que cela ne vous arrive.

Parmi les quatre douzaines de sites asservis au botnet ColdFusion se trouvait également la vitrine Web de LaCieune société de matériel informatique spécialisée dans les disques durs externes.

lacie

Clive surdirecteur des communications d’entreprise pour le propriétaire de LaCie Seagatea déclaré que la société avait enquêté sur l’incident et n’avait jusqu’à présent trouvé aucune indication que des données client aient été compromises lors de l’attaque.

« Cette semaine, la société a reçu des informations indiquant qu’un serveur hébergeant LaCie.com pourrait avoir été ciblé de manière malveillante et peut-être violé à un moment donné au cours de l’année civile 2013 », a déclaré Over dans un communiqué envoyé par courrier électronique. « La confidentialité et la sécurité sont de la plus haute importance pour la société, et nous avons donc pris des mesures immédiates pour enquêter sur cette affaire dès que nous en avons pris connaissance. La Société a mené une enquête préliminaire et, à l’heure actuelle, nous ne savons pas si des informations sur la société ou des tiers ont été consultées de manière inappropriée. La société travaille actuellement en étroite collaboration avec des experts tiers pour effectuer une analyse médico-légale plus approfondie. »

Les vulnérabilités d’Adobe ColdFusion ont donné lieu à un certain nombre d’attaques de haut niveau dans le passé. En février, un pirate informatique au Royaume-Uni a été accusé d’avoir accédé à des ordinateurs de la Federal Reserve Bank de New York en octobre 2012 et d’avoir volé des noms, des numéros de téléphone et des adresses e-mail en utilisant les failles de ColdFusion. Selon cette histoire de Business WeekLauri Love a été arrêtée dans le cadre d’une affaire scellée qui prétend qu’entre octobre 2012 et août 2013, Love a piraté des ordinateurs appartenant au département américain de la santé et des services sociaux, à la commission américaine des peines, au laboratoire régional d’informatique judiciaire et au département américain de Énergie.

Mise à jour, 12 h 15 HE : Le gardien rapporté aujourd’hui à propos d’une autre victime apparente de l’échec de ColdFusion : le constructeur automobile Citroën.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *