Flinke kluif voor het CBP als deze webshops inderdaad last hebben van een datalek en ze niet binnen 72 uur een melding maken.

De creditcard met de roterende CVV code, is hier reeds besproken, en is het beste wapen in de maak, om deze manier van fraude te stoppen.
http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/

https://www.security.nl/posting/488028/Roterende+CVV-code+Creditcard

Het is een nieuwe draai aan het woord https://nl.wikipedia.org/wiki/Skimmen. De eerste grote zaak die bekend werd was van Target. Dat betrof pos apparatuur met een duur IDS van Fire-eye. De faal zat in het reageren op de alert (India uitbesteed werk). Als je het over gehackte webwinkels hebt, meest waarschijnlijk niet goed bijhouden en proactief beheer met de monitoring. Dat is de menselijke benadering (falend beleid) als zwakste punt niet de techniek.

denk niet dat die webshop eigenaren het probleem zien..
ik heb die lijst eens bekeken, en de meeste zijn zo klein dat ze waarschijnlijk nog nooit van het College Bescherming Persoonsgegevens hebben gehoord.

Ja de sites worden over het merendeel slecht gemaakt, de software slecht van updates en patches voorzien.
En ook ontbreekt er vaak monitoring van wat er gebeurt.

Kik hier eens voor een willekeurig voorbeeld: https://sitecheck.sucuri.net/results/www.jomso.com
Bij deze scan wordt deze Magento hack compleet gemist.
Je zal er maar voor betaald hebben om je site te laten bewaken door Sucuri.

Goed werk van Willem de Groot, overigens, hulde - hulde - hulde!

Bovenstaand willekeurig voorbeeld van zijn webshop websitelijst eens even door Redleg's Fileviewer gehaald.
Dan komen er nogal wat kwetsbaarheden boven drijven en wordt ook het kwaadaardige geobfusceerde script
in kwestie getraceerd.

Het zwaar geobfusceerde script vanaf lijn 1509 wordt aangegeven als een mogelijke Magento hack:

Inmiddels heeft iedereen dit nieuws overgenomen, maar niemand doet de moeite de 250 NL sites in een apart lijstje te zetten?

.nl voldoet in de zoekbalk ;-)

''Vooral kleine webshops in Nederland zouden door de hack zijn getroffen. Grote partijen zoals Bol.com en Coolblue staan niet op de lijst.'' bron: nu.nl

IMHO het meest opzienbarende was dat de Republikeinse senaatsfractie tenminste een half jaar lang geskimmed werd en daar in alle talen over zwijgt. Zie bewijsmateriaal hier (video van broncode): https://gwillem.github.io/2016/10/04/how-republicans-send-your-credit-card-to-russia/

Ons bedrijf is zelf genoemd op deze lijst en nu kunnen wij hier niet meer vanaf komen. Dat is uw probleem zult u misschien zeggen, maar door onderzoek ben ik erachter gekomen dat de auteur van dit artikel (Willem de Groot) eigenaar/oprichter/medewerker is van Byte.nl. Op zich ook geen probleem ware het niet dat er zich op het moment twee zaken voordoen:

1. Ik en anderen worden nu bestookt met email van derde partijen die het probleem wel even op kunnen lossen (al dien niet met een dreigende toon).
2. Ik zie dat de heer Willem de Groot de lijst wel degelijk aanpast (of laat aanpassen) echter zeer selectief. De domeinen gehost door Byte.nl worden namelijk successievelijk van deze lijst verwijderd.

@anoniem van 16:15 uur.

Ja niet iedereen in beveiligingsland werkt onbevooroordeeld en wie wil niet voor eigen parochie preken?
Of je bent onbevooroordeeld, onafhankelijk, vrijwilliger, amateur, g33k, ergens fanboy van, of platform lid
....of je bent commercieel ingesteld.

De schoorsteen zal bij de heer Willem de Groot ook moeten blijven roken,
zeker nu we binnen een aantal jaren een nieuwe ijstijd hebben te verwachten. ;)

Dus hij zet zichzelf en zijn bedrijf zo in de schijnwerpers en
doet aan acquisitie met als beloning van de lijst af te komen.

Ieder neemt trouwens zijn onderzoek-linkjes over.
Slim online zakenmannetje dus.

Uw webshop site kan u laten scannen via Fetch: http://fetch.scritch.org/%2Bfetch/?url=http%3A%2F%2Feverstylish.com&useragent=Fetch+useragent&accept_encoding=

Een random voorbeeld van een Magento webshop site.

Malware gedetecteerd: https://www.hybrid-analysis.com/sample/8632db958d3d24a21551e80597ccc5672c924794407d973795dd3519339a3330?environmentId=100

Zie ook deze "neutrale" scanner infovan Redleg: https://aw-snap.info/file-viewer/?tgt=http%3A%2F%2Feverstylish.com&ref_sel=GSP2&ua_sel=ff&fs=1

En om te zien hoeverre de beveiliging van deze site in het geding is,
komen toch weer uit bij een scansite van dit Byte.nl bedrijf,
namelijk op MageReport dot com bij: https://www.magereport.com/scan/?s=http://everstylish.com/

Maar er zijn nog andere bedrijven die uw site willen helpen met de beveiligingsproblemen
en voor u willen monitoren, maar de gratis Mage rapporten zijn een goed initiatief.

Maar steek de hand is in eigen boezem. Ga u verdiepen in website beveiliging, lees over protocollen, javascript onveiligheid, security headers, genereer SRI hashes, begin aan CSP, vermijdt excessieve server header proliferatie, exploits, XSS, clickjacking enz. enz.

Er gaat een wereld voor u open. We hebben trouwens hier allemaal onze stack tabelletjes moeten maken.

Of zoek iemand die dat allemaal al weet en u kan helpen.

de hand in eigen boezem steken was al gebeurd en wordt ook in mijn recatie vermeld. Punt dat ik hier will maken is dat het het op zijn minst discutabel te nomen is dat Byte op deze manier een lijst met domeinnamen het internet op gooit en een voor een de door hun gehoste namen van deze lijst verwijderd.

Onze sites zijn schoon en doorlopen alle tests met glans.

Beste anoniem van 22:26.

Vanwege welk beveiligingsrisico belandde u dan op deze door u zo gewraakte "Willem G.-lijst".
Is dit risico nu ondervangen? Is alles "same origin" nu? Is de content beveiligd?

Op verzoek moeten scangegevens kunnen worden verwijderd of
moet u expliciet schriftelijk toestemming gegeven hebben voor een dergelijke scanpublicatie.
Veel scan sites vragen ook netjes of de scan uitslagen in de hal of shame of de hal of fame mogen worden geplaatst.

Trouwens als een reden voor een blokkering is vervallen, wordt uw website toch ook gedeblokkeerd.
Het gaat er maar om dat de site niet gevaarlijk blijft. Beter ten halve gekeerd dan ten hele gedwaald.

Ik denk dat er met de door uw gewraakte lijst ook niet helemaal ethisch wordt omgesprongen.
Maar dat terzijde. Niet zo professioneel en misschien niet zo op de hoogte met hoe het eigenlijk zou moeten,
maar "uitgekookt" van opzet.

Als ik bijvoorbeeld een dazzlepod ip scan doe voor een bepaald ip, mag ik de scan gegevens wel zelf zien, maar niet delen met anderen, die ze zouden kunnen misbruiken. Sommige SSL scansites hebben ook een dergelijke policy.

Bij WOT rapportjes mag ik bijvoorbeeld geen live (scan) links geven.
Doe ik het wel, krijg ik gelijk op mijn tengels van de webreputatie tool moderator.

Update.

Er is nu een nieuwe lijst: https://github.com/gwillem/ecommerce-malware-collection/tree/master/js
Nieuwe link, waar de lijst wordt bijgehouden: https://github.com/gwillem/ecommerce-malware-collection/tree/master/js

Check hier met de Magento security scanner: https://www.magereport.com/scan/?s=
(scandienst is ook van Willem de Groot's Byte B.V.).

De lijst heeft een duidelijk commercieel doel, namelijk potentieel onveilige webshop sites support geven
via het bedrijf van de lijst samensteller, Byte B.V.'s Willem de Groot.

F-Secure meldde t.a.v. van zijn vorige Github lijst, de nieuwe is nu ondergebracht bij Gitlab:
Waarvan akte.

Hoi, ik ben de auteur van het onderzoek. Voor in het archief:

1. Plaatsing had geen commercieel doel, daarom gebeurde het op persoonlijke titel en niet via mijn bedrijf. NB. Mijn bedrijf doet helemaal geen webshop onderhoud.

2. De melding van F-Secure hierboven (bron?) vind ik nogal verontrustend. Ik heb enkele honderden vragen ontvangen en geen enkele vermelding bleek een false positive te zijn. Op het moment van schrijven (30 okt) zijn er nog steeds 4071 sites die kwaadaardige javascript bevatten.

Zie voor laatste update: https://gitlab.com/gwillem/public-snippets/snippets/28813

Zie voor discussie over de ethiek van publicatie: https://news.ycombinator.com/item?id=12712648

Dank aan gwillem voor de ethische verantwoording.
Velen hier zullen dit op prijs stellen.

Er zijn dus nog mensen met het juiste beveiligingshart op de juiste plek.

Verschillende beveiligingsplatformen hebben de weg naar uw lijst
en ook de weg naar de MageReport dot com scanner gevonden.

Dank, dank daarvoor!

Wat ik persoonlijk zo goed vind aan uw initiatief, is dat u de manco's en blinde hoeken
bij scanners als Sucuri's en die van Bruce Jackson bijvoorbeeld,
wat betreft het ontdekken van magento kwetsbaarheden en infecties duidelijk hebt blootgelegd.

Er wordt nauwelijks specifiek op CMS gescanned bij algemene zgh. page scans.
Uitzonderingen als hackertarget dot com en retire insecurity today (jQuery) daargelaten.

Zo mis ik bij scans nogal eens scans op cloaking en zgn. best practices.

Men gaat in navolging van AV vaak uit van de situatie waar het kalf al verdronken is en
niet hoe men de put kan dempen- zodat het kalf niet kan verdrinken!

Maar ja dan jaag je tegenwoordig 50% van de website administratie in de gordijnen
of beschouwen ze je als hun persoonlijke vijand omdat de baas iets te weten kan komen
betreffende hun kennelijke incompetentie en falen, die worden aangetoond.

luntrus

P.S. Ook goed die aandacht voor de visbot infectie golf. ;)