В прошедшие выходные хакеры атаковали официальный онлайн-магазин мерча компании Cisco — Cisco Merchandise Store. Они внедрили на сайт веб-скиммер (JavaScript, крадущий данные покупателей). Из-за этого инцидента работа площадки в США, Европе и Азиатско-Тихоокеанском регионе была приостановлена.
ИБ-эксперты проанализировали кейс и пришли к выводу, что атакующие эксплуатировали проблему в CosmicSting, затрагивающую сайты Adobe Commerce и Magento. Эта XXE- и RCE-уязвимость позволяет злоумышленнику увидеть конфиденциальные данные и выполнить произвольный код.
Скиммер собирал информацию, которую клиенты магазина указывали при оформлении заказа: учётные данные пользователя, его почтовый адрес, телефонный номер, имейл и реквизиты банковской карты.
Примечательно, что частыми покупателями в Cisco Merchandise Store были сотрудники самой компании, однако, представители Cisco заверили, что чувствительные сведения о персонале скомпрометированы не были.