На одном из крупнейших киберпреступных форумов были выставлены на продажу 895 тыс. подарочных сертификатов общей стоимостью $38 млн. База данных содержит сертификаты от нескольких тысяч брендов, вероятнее всего, полученные в результате давней утечки из теперь уже нефункционирующего магазина подарочных карт Cardpool.

Продавец не уточнил происхождение похищенных сертификатов, однако известно, что они принадлежат 3010 компаниям, в том числе Airbnb, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target и Walmart. Как это часто бывает при массовых продажах данных на хакерских форумах, продавец объявил аукцион со стартовой ценой $10 тыс. За $20 тыс. можно было приобрести всю базу данных, не торгуясь. Не удивительно, что покупатель нашелся очень быстро.

Как сообщает Gemini Advisory, как правило, киберпреступники продают похищенные подарочные сертификаты по цене, составляющей 10% от их настоящей стоимости. Однако в данном случае цена была намного ниже – всего 0,05% от оригинальной стоимости. Столь заниженная цена могла объясняться тем, что не все сертификаты в утечке являются действительными, или тем, что у них низкий баланс.

На следующий день после продажи подарочных сертификатов этот же продавец выставил на аукцион неполные данные 330 тыс. дебетовых карт. Стартовая цена составляет $5 тыс., а стоимость без торга – $15 тыс. За эту сумму покупатель получит платежные адреса, номера карт, сроки их действия и названия банков-эмитентов. В утечке не содержатся ни имена держателей карт, ни CVV-коды, необходимые для транзакций без предъявления карты (для online-покупок).
Как выяснили эксперты Gemini Advisory, данные карт были получены в результате взлома сайта Cardpool.com с февраля по август 2019 года. Исходя из этого, можно предположить, что подарочные сертификаты были получены в результате этой же утечки. Злоумышленники могли получить доступ к интернет-магазину с помощью различных методов, включая эксплуатацию уязвимостей в системе управления контентом (CMS) сайта и подбор учетных данных (брутфорс) администратора.

Источник: securitylab.ru