De webwinkel van de Amerikaanse sportplaatjesfabrikant Topps is getroffen door formjacking waardoor aanvallers betaalgegevens van klanten konden stelen. Dat heeft het bedrijf aan klanten laten weten (pdf). Topps fabriceert kauwgom en is de grootste producent van ruilkaarten. Het gaat dan om sportgerelateerde ruilkaarten voor American football, basketbal, honkbal, ijshockey en voetbal, alsmede niet-sport gerelateerde verzamelkaartjes.

Topps, dat in 1938 werd opgericht, heeft een miljoenenomzet en de apps van het bedrijf zijn miljoenen keren geïnstalleerd. Aanvallers wisten vorig jaar november toegang tot Topps.com te krijgen, waardoor betaalgegevens die klanten bij hun bestelling invoerden konden worden onderschept. Het gaat om namen, adresgegevens, telefoonnummers, e-mailadressen en betaalinformatie, zoals creditcardnummer, verloopdatum en beveiligingscode van klanten die van 19 november 2018 tot 9 januari 2019 een bestelling plaatsten.

Het aanpassen van websites met kwaadaardige code die betaalgegevens onderschept wordt formjacking genoemd en vindt al zeker sinds 2016 plaats. Onlangs meldde Symantec dat vorig jaar 4800 webwinkels per maand het slachtoffer van formjacking waren geworden. Om de kwaadaardige code op de betaalpagina van de webwinkel te krijgen maken criminelen onder andere gebruik van third-party code die op een webwinkel draait.

In andere gevallen wordt de webwinkel direct gehackt, waarna de kwaadaardige code aan de betaalpagina wordt toegevoegd. Dit gebeurt onder andere door standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in de webwinkelsoftware. Naar aanleiding van het incident zegt Topps dat het het webplatform van Topps.com heeft geüpgraded.