חברת ZAGG Inc הודיעה ללקוחות שנתוני כרטיסי האשראי שלהם נגנבו לאחר שהאקרים פרצו לאפליקציה של צד שלישי שסופקה על ידי ספקית המסחר האלקטרוני של החברה – BigCommerce. חברת ZAGG היא יצרנית אביזרי אלקטרוניקה המוכרת באביזרים שלה למכשירים ניידים כגון מגני מסך, נרתיקים לטלפונים, מקלדות ומטעני סוללות. לפי המכתב שנשלח לקורבנות מתקפת הסייבר, פרצו ההאקרים את אפליקציית FreshClicks שסופקה על ידי BigCommerce והחדירו קוד זדוני אשר גנב את פרטי כרטיסי האשראי של לקוחות החברה בין ה- 26 באוקטובר 2024 ל- 7 בנובמבר 2024.
BigCommerce היא ספקית פלטפורמת מסחר אלקטרוני מבוססת תוכנה כשירות (SaaS) המשרתת מגוון רחב של עסקים, מארגונים קטנים ועד לתאגידים גדולים, בתעשיות ואזורים שונים. FreshClick הינה אפליקציה של צד שלישי המסייעת ביצירת אפליקציות ואתרים רספונסיביים עבור פלטפורמת BigCommerce, במטרה לשפר את הפונקציונליות של חנויות אלקטרוניות ולשפר את חווית הלקוח. למרות ש- FreshClick לא פותחה ישירות על ידי BigCommerce, היא מוצעת דרך שוק האפליקציות של הפלטפורמה, שהוא מקום עבור סוחרים למצוא ולהתקין תוספים לחנויות שלהם.
בהצהרה עבור BleepingComputer, הדגישה BigCommerce כי המערכות שלה לא נפרצו או נפגעו. באמצעות כלים פנימיים, גילתה BigCommerce שאפליקציית FreshClicks נפרצה ובעקבות זאת הוסרה מחנות האפליקציות שלה: "באמצעות הכלים הפנימיים שלנו ובתקשורת עם השותף, אימתנו שאפליקציית FreshClicks של צד שלישי נפרצה. אנו פועלים לטובת הלקוחות שלנו והקונים שלהם ולכן הסרנו מיד את האפליקציה מהחנות, מה שהסיר כל ממשקי ה- API שנפגעו."
בתגובה לתקרית זו הקשיחה ZAGG את האמצעיים להגנה על מידע, הודיעה לרשויות אכיפת החוק ולרגולטורים הפדרליים והפנתה את הקורבנות לקבל שירות ניטור אשראי ללא תשלום למשך 12 חודשים דרך Experian. לקורבנות הומלץ גם לעקוב מקרוב אחר פעילות חשבון הבנק שלהם, להציב התראות על הונאה ולשקול הקפאת אשראי. ZAGG לא חשפה עדיין כמה לקוחות הושפעו מפרצת האבטחה הזו.
