ZAGG Inc. informa a sus clientes que los datos de sus tarjetas de crédito quedaron expuestos a personas no autorizadas después de que piratas informáticos comprometieran una aplicación de terceros proporcionada por el proveedor de comercio electrónico de la empresa, BigCommerce.
ZAGG es un fabricante de accesorios de electrónica de consumo conocido por sus accesorios móviles, como protectores de pantalla, fundas para teléfonos, teclados y bancos de energía. La empresa con sede en Utah tiene unas ventas anuales de 600 millones de dólares.
Según el carta enviada a los interesadosEl atacante violó la aplicación FreshClicks impulsada por BigCommerce e inyectó un código malicioso que robó los datos de las tarjetas de los compradores.
“Hemos aprendido que un actor desconocido inyectó un código malicioso en la aplicación FreshClick diseñada para recopilar datos de tarjetas de crédito ingresados como parte del proceso de pago para ciertas transacciones de clientes de ZAGG.com entre el 26 de octubre de 2024 y el 7 de noviembre de 2024”. -ZAGG
BigCommerce es un proveedor de plataforma de comercio electrónico de software como servicio (SaaS) con sede en Austin que presta servicios a una amplia gama de empresas, desde pequeñas hasta grandes empresas, en diversas industrias y geografías.
FreshClick es una aplicación de terceros que ayuda a crear aplicaciones y sitios web responsivos para la plataforma BigCommerce. Está diseñado para mejorar la funcionalidad de las tiendas electrónicas y mejorar la experiencia del cliente.
Aunque BigCommerce no desarrolla FreshClick directamente, se ofrece a través del mercado de aplicaciones de la plataforma, que es un espacio seleccionado para que los comerciantes encuentren e instalen complementos para sus tiendas.
En una declaración para BleepingComputer, BigCommerce enfatizó que sus sistemas no habían sido vulnerados ni comprometidos. Utilizando herramientas internas, BigCommerce descubrió que la aplicación FreshClicks había sido pirateada y la desinstaló de las tiendas de sus clientes.
“Utilizando nuestras herramientas internas y comunicándonos con el socio, verificamos que la aplicación FreshClicks de terceros estaba comprometida. Actuando en el mejor interés de nuestros clientes y sus compradores, desinstalamos inmediatamente la aplicación de sus tiendas, eliminando todas las API comprometidas y códigos maliciosos” – BigCommerce
Como resultado de esta violación de datos, el atacante robó los nombres, direcciones y datos de tarjetas de pago de los compradores de zagg.com entre el 26 de octubre y el 7 de noviembre de 2024.
En respuesta a este incidente, ZAGG implementó acciones correctivas, notificó a las autoridades policiales y a los reguladores federales, y dispuso que las personas afectadas recibieran un servicio gratuito de monitoreo de crédito durante 12 meses a través de Experian.
También se recomendó a los destinatarios de las cartas que supervisaran de cerca la actividad de sus cuentas financieras, emitieran alertas de fraude y consideraran congelar su crédito.
ZAGG aún no ha revelado cuántos clientes se vieron afectados por esta violación de seguridad.
La tienda BigCommerce listas actualmente seis complementos creados por FreshClick, que en conjunto tienen 178 reseñas. Sin embargo, es posible que el complemento comprometido se haya eliminado temporalmente.