第三方支付处理厂商软件有漏洞，日本美容零售商Acro 10万支付卡信息遭攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

日本美容产品零售电商 Acro（“艾可”）超过10万张支付卡详情被暴露。

Acro 公司发布通知称，某第三方支付处理厂商的软件漏洞遭利用，导致其四大美容产品网站中的两个网站客户受影响。受陷数据和89,295 张用于在Three Cosmetics 域名上购买商品的支付卡以及用于 Amplitude 网站的103,935张支付卡有关。

受害者可能包括在2020年5月21日至2021年8月18日在上述两个网站上购买商品的任何人。Acro 公司指出，某些用户名和密码可能也被泄露。

时间线

目前该事件正在调查过程中。分析认为这起事件可能发生在2021年8月20日，之后该公司的所有四个网站在2021年8月21日宕机。

第三方调查始于2021年8月24日；10月22日，发布了某些详情。这起事件此后上报给执法部门以及日本的个人信息保护委员会。

Acro 指出，已经从2月24日期开始邮件通知受影响客户。该公司已督促潜在受害者监控资产中的可疑活动并更改易受攻击的在线账户密码。

该公司就此事向客户致歉并承诺会在调查结论基础上增强网络安全，包括重新发布网站并采取措施预防越权登录行为等。该公司表示和信用卡企业协作，继续监控交易情况并阻止欺诈行为。

代码卫士试用地址：https://codesafe.qianxin.com/#/home

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

黑客泄露DLSS源代码，逼英伟达开源GPU驱动

热门开源多媒体库 PJSIP 被爆5个内存损坏漏洞

使用广泛的开源PCB文件查看器 Gerbv 含多个严重漏洞

CISA：攻击者正在利用开源Zabbix服务器中的多个漏洞！

开源代码是下一轮攻击潮的重灾区

原文链接

https://portswigger.net/daily-swig/japanese-beauty-retailer-acro-blames-third-party-hack-for-breach-of-100k-payment-cards

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~