Κυβερνοεγκληματίες κατάφεραν να παραβιάσουν το δίκτυο υπολογιστών του BigFish Games και τοποθετήσουν κακόβουλο λογισμικό στις σελίδες τιμολόγησης και πληρωμής του ιστότοπου.


Το BigFish Games κατατάσσεται επί του παρόντος στη θέση 1.589 στις Ηνωμένες Πολιτείες και σε όλο τον κόσμο στη θέση 2.817, σύμφωνα με πληροφορίες από το Alexa. Η εταιρεία ιδρύθηκε το 2002 και έχει εκατομμύρια επισκέπτες σε όλο τον κόσμο, με πελάτες από 150 χώρες.

Η παραβίαση ανακαλύφθηκε από τους διαχειριστές της ιστοσελίδας στις 12 Ιανουαρίου 2015, και μετά από έρευνα, διαπιστώθηκε ότι οι εισβολείς απέκτησαν πρόσβαση σε δεδομένα από τις αγορές μεταξύ της 24ης Δεκεμβρίου 2014, και της 8ης του Ιανουαρίου 2015.

Σε επιστολή που αποκαλύπτει το περιστατικό, η εταιρεία αναφέρει ότι μόνο τα νέα στοιχεία πληρωμής που προστέθηκαν στην ιστοσελίδα έχουν εκτεθεί και ότι οι πελάτες των οποίων τα δεδομένα της κάρτας τους είναι ήδη αποθηκευμένα στο προφίλ τους παραμένουν ανεπηρέαστα.

Οι πληροφορίες που οι κυβερνοεγκληματίες μπορεί να έχουν αποσπάσει περιλαμβάνουν ονόματα, διευθύνσεις, αριθμό κάρτας, ημερομηνία λήξης και το CVV2 (τιμή επαλήθευσης της κάρτας). Βασικά, ένας εισβολέας που κατέχει αυτές τις πληροφορίες δύναται να πραγματοποιήσει παράνομες online αγορές χωρίς κανένα περιορισμό.

Ο κωδικός CVV2 (διαθέσιμος στο πίσω μέρος της κάρτας) βοηθά στην πρόληψη της απάτης σε συναλλαγές χωρίς την παρουσία της κάρτας, καθώς σε online συναλλαγές αποδεικνύει ότι ο αγοραστής έχει την κάρτα στην κατοχή του. Ένας άλλος σκοπός του κώδικα είναι για την επαλήθευση του αριθμού της κάρτας.

Σύμφωνα με το PCI DSS (Payment Card Industry Data Security Standard), οι έμποροι, συνιστάται να μην αποθηκεύουν τους κωδικούς CVV στις υποδομές τους, προκειμένου να αποφεύγονται οι κακόβουλες συναλλαγές που προκύπτουν από κάποια παραβίαση.
O Ian Hurlock-Jones, CTO στην BigFish Games, αναφέρει ότι η εταιρεία έχει επιδιορθώσει το κενό ασφάλειας και έχει αφαιρέσει το κακόβουλο λογισμικό από το σύστημα. Επιπλέον, το περιστατικό έχει αναφερθεί στις αρμόδιες αρχές.

Πιστωτικοί οργανισμοί και δίκτυα καρτών πληρωμών έχουν επίσης ειδοποιηθεί ώστε να αποκλειστεί η δραστηριότητα που συνδέεται με τις πληγείσες κάρτες.

Ο Jones ανέφερε ότι η BigFish Games προσφέρει στους πληγέντες πελάτες της δωρεάν συνδρομή για ένα χρόνο σε μια υπηρεσία προστασίας ταυτότητας, για την αποτροπή της κλοπής ταυτότητας τη στιγμή που ανιχνεύεται.

Ο αριθμός των προσβεβλημένων ατόμων ή η μέθοδος που χρησιμοποιήθηκε από τον δράστη για να αποκτήσει πρόσβαση στις ευαίσθητες πληροφορίες παραμένουν απόρρητες.