Página inicial, loja, carrinho, checkout e minha conta retornaram 200. O mesmo produto, e-mails de clientes diferentes, cartões recusados, depois outra onda, depois outra. Cada vez que um invasor inexperiente grava um dia zero em uma loja, alguém como eu percebe, corrige e envia a correção para o upstream. Uma conta de nível de assinante pode substituir credenciais, clonar postagens privadas, plantar pixels de rastreamento em todo o site ou armazenar XSS em telas de administração. De qualquer forma, o invasor sai com um veredicto e o comerciante arca com as taxas do gateway, os estornos e a pontuação de risco do gateway atingida.
Fonte: https://anchor.host/so-you-get-hit-with-a-credit-card-skimmer-what-now/
