Nieuws
image

7300 webwinkels besmet met malware die creditcarddata steelt

vrijdag 31 augustus 2018, 08:41 door Redactie, 11 reacties

Meer dan 7300 op Magento gebaseerde webwinkels zijn de afgelopen maanden gehackt en voorzien van malware die creditcardgegevens en andere data van klanten steelt. Daarvoor waarschuwt de Nederlandse beveiligingsonderzoeker Willem de Groot.

De malware wordt "MagentoCore skimmer" genoemd en is de afgelopen zes maanden op 7339 Magento-webwinkels aangetroffen. Aanvallers maken onder andere gebruik van bruteforce-aanvallen om toegang tot het beheerderspaneel van de webwinkel te krijgen. Vervolgens wordt er JavaScript aan de pagina's van de webwinkel toegevoegd die alle door klanten ingevoerde data terugstuurt naar de aanvallers, waaronder creditcardgegevens.

Daarnaast beschikt MagentoCore skimmer over de mogelijkheid om concurrerende malware te verwijderen. Verder verandert de malware periodiek de wachtwoorden van beheerdersaccounts naar "how1are2you3". Volgens De Groot wordt de malware meestal na een paar weken ontdekt en verwijderd, maar zijn er tenminste 1450 webwinkels die al zes maanden lang met MagentoCore skimmer zijn geïnfecteerd.

Reacties (11)
31-08-2018, 09:52 door Krakatau
Gezien de gevolgen voor de nietsvermoedende klant zouden de (domein)namen van deze webshops eigenlijk bekend gemaakt moeten worden. Zodat mensen deze webshops kunnen vermijden.
31-08-2018, 11:52 door Anoniem
Door Krakatau: Gezien de gevolgen voor de nietsvermoedende klant zouden de (domein)namen van deze webshops eigenlijk bekend gemaakt moeten worden. Zodat mensen deze webshops kunnen vermijden.

Valt in principe onder de meldingsplicht datalekken. Afhankelijk van de jurisdictie moet dat naar de klanten, of alleen naar de toezichthouder.

Een andere lesson learned is (nogmaals) de class break. Je kan ook in een fysieke winkel inbreken, maar 7339 winkels is 7339x het werk. 7339x webwinkels is 1x het werk plus peanuts om het op te schalen naar nog meer met dezelfde kwetsbaarheid. Plus: Het kan op maximale afstand hele aardbol (vanuit Mars is voorlopig nog een beperking wegens minuten vertraging op de communicatie).
31-08-2018, 12:21 door Zeurkool
Door Krakatau: Gezien de gevolgen voor de nietsvermoedende klant zouden de (domein)namen van deze webshops eigenlijk bekend gemaakt moeten worden. Zodat mensen deze webshops kunnen vermijden.

Geheel mee eens.
31-08-2018, 12:39 door Anoniem
Wat kunnen criminelen doen met die gegevens? Aankopen met credit card gaat toch altijd samen met TAN codes?
31-08-2018, 13:45 door -karma4
Door Anoniem: Wat kunnen criminelen doen met die gegevens? Aankopen met credit card gaat toch altijd samen met TAN codes?

Nee... Gewoon creditcard nummer en evt. code op de achterkant invoeren. Die laatste wordt hopelijk niet opgeslagen.
31-08-2018, 14:57 door Anoniem
Niemand praat hier over de brakke techniek van de CSM software en plug/ins en het brakke en lamlendige onderhoud en configureren door de vele website admins en hosters e.d. Laten we hier weer een het woord PHP/gebaseerde CMS vallen, denk aan Word Press plug/ins, directorly listing op aan, user enumeratie op aan. Voorgekookte click _ paste prut. Prakkie onveiligheid.

Voor magento loop eens door wat mage rapportjes en schrik je een hoedje. Praatje pot, pleistertje, kleine update en upgrade en we gaan weer verder waar we gebleven zijn. De cybercrimineel maakt er dankbaar gebruik van, alsmede de ad/tracker en Big Tech. Gatenkaas op de infrastructuur. Het begint al aardig te stinken die gatenkaas. Net als dat bekende Zwitserse produkt uit het ronde kartonnen strooidoosje, sommigen maakte de gaatjes nog wat groter met een mesje. Goede kaas, bloedzuiverend! Ha, ha, ha. Moet ik hier nog serieus op ingaan. Men doet er toch weer niks ten principale aan. Doormodderen, mensen!
01-09-2018, 13:12 door Krakatau - Bijgewerkt: 01-09-2018, 13:12
Door Anoniem: Niemand praat hier over de brakke techniek van de CSM software en plug/ins en het brakke en lamlendige onderhoud en configureren door de vele website admins en hosters e.d. Laten we hier weer een het woord PHP/gebaseerde CMS vallen, denk aan Word Press plug/ins, directorly listing op aan, user enumeratie op aan. Voorgekookte click _ paste prut. Prakkie onveiligheid.

Ik wilde me eens inhouden. Maar natuurlijk is dit inderdaad weer een voorbeeld van op PHP-stacks gebaseerde baggerware!
02-09-2018, 18:07 door karma4
Door Krakatau:
Ik wilde me eens inhouden. Maar natuurlijk is dit inderdaad weer een voorbeeld van op PHP-stacks gebaseerde baggerware!
Had je je nou ingehouden. PHP wort gepromoot vanuit het CERN. Je moet het wel veilig ontwerpen en veilig uitwerken.
OSS of Linux zit in die zelfde hoek, ook al is het open je kan er nog steeds een grote chaos van maken.
Sterker door het idealisme met een groei vanaf de garage en dat omdat iedereen het kan zien maar niemand er echt naar kijkt komen de fouten gegarandeerd. https://security.web.cern.ch/security/training/en/technical.shtml#php
02-09-2018, 22:57 door Anoniem
PHP is slechts met een bepaalde duidelijk begrensde scope destijds ontworpen taal, vandaar.

Lees dit eens, zou ik zeggen: "https://security.stackexchange.com/questions/643/why-do-people-say-that-php-is-inherently-insecure".

Ik zal niet zeggen dat het onmogelijk is om PHP en JavaScript bijvoorbeeld zo veel mogelijk error vrij te maken, maar zo lang er nog 77% van de websites bijvoorbeeld tenminste 1 af te voeren jQuery bibliotheek bezit, heb ik er persoonlijk en na opgedane relevante ervaring een hard hoofd in.

Test maar een willekeurig website eens met Erlend Oftedal's online scanner: https://retire.insecurity.today/# voor af te voeren jQuery bibliotheken of doe een webhint scannetje met Nelly naar best practices: https://webhint.io/,
daar gebeurt hetzelfde met behulp van SNYK.

Dit na jarenlang op script errors te hebben gejaagd met unpackers als jeek en op stackoverflow gezocht, kan ik je ook nog vertellen dat developers niet met security als first thing op het netvlies worden opgeleid. Ja aftikken bij een toets na 1 endless loop, 41% van de vragen goed, dan nog even doorstampen dus.

Je ziet het echt te optimistisch, karma4, cern of geen cern,
Ik deel wat dit betreft mijn zakje gebakken emping wel met Krakatau ;).

luntrus
03-09-2018, 10:26 door Krakatau
Door karma4:
Door Krakatau:
Ik wilde me eens inhouden. Maar natuurlijk is dit inderdaad weer een voorbeeld van op PHP-stacks gebaseerde baggerware!
Had je je nou ingehouden. PHP wort gepromoot vanuit het CERN.
... https://security.web.cern.ch/security/training/en/technical.shtml#php

CERN biedt voor zowat alle bekende programmeertalen wel iets dergelijks aan. Soit...

https://security.web.cern.ch/security/training/en/technical.shtml
03-09-2018, 23:47 door Anoniem
Er is al een heleboel onveiligheid bij PHP verdwenen, maar soms bleven oude onveilige methoden nog geruime tijd gewoon onder de nieuwe versie werken, hoewel ze al 'depreciated' waren.

Denk aan 'class constructor' na invoeren van '_construct' en het niet meer statisch mogen aanroepen;
Verder 'PASSWORD_DEFAULT = 1' met het tonen van de string na een refresh run, die een hacker aan het begin als 'buit' tussen de eerste $ en tweede $ het encryptie algoritme verschaft, vervolgens de cost (bijvoorbeeld 10, cost 16 laat de website wel zeer langzaam laden) en vervolgens de salt. Je kunt die nu niet meer uitschrijven, want de ingave van de developer is niet random genoeg. Het wordt nu voor je gedaan. Ook afgevoerd is 'stream_get_meta_data' wat via '$fp' allerlei file informatie kan vrijgeven.
Info source bron: Avelx.

Met het bovenstaande in gedachten naar aanleiding van de veiligheids transitie van PHP6 naar PHP7 in het achterhoofd, heeft Krakatau natuurlijk wel een punt.

Je kunt dus met PHP gemakkelijk van de regen in de drup raken, maar dat is in zekere zin inherent aan script en code.
Maar we blijven leren en veiligheid aanscherpen. Onderzoek alle dingen en behoudt het goede.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search