image

Duizenden webwinkels lekken klantgegevens via formjacking

maandag 13 mei 2019, 10:10 door Redactie, 15 reacties

Criminelen zijn er dit weekend in geslaagd om duizenden webwinkels te compromitteren en zo creditcarddata en andere gegevens van klanten te stelen als die producten afrekenen of informatie versturen. Dat meldt de Nederlandse beveiligingsonderzoeker Willem de Groot op Twitter.

Meer dan 1200 van de webwinkels werden gecompromitteerd via de marketingsoftware Picreel. Dit is analyticssoftware waarmee webwinkels de scroll- en muisbewegingen van klanten kunnen volgen om ze aanbiedingen te tonen. Op nog onbekende wijze wisten criminelen het Picreel-script te compromitteren dat webwinkels op hun eigen website draaien. Hierdoor werden betaalgegevens die klanten op de betaalpagina invoerden naar de criminelen gestuurd.

Tevens meldt De Groot dat ook CloudCMS.com is gecompromitteerd. Een contentplatform voor het maken en beheren van websites. Volgens CloudCMS was de aanval gericht tegen Alpaca Forms, opensourcesoftware waarmee websites webformulieren kunnen maken. De aanvallers wisten toegang te krijgen tot het content delivery network (CDN) van Alpaca Forms, dat door CloudCMS wordt aangeboden, en zo kwaadaardige code aan de JavaScript-bestanden van het project toe te voegen.

Hierdoor draaide er ook besmette code op de websites die van Alpaca Forms gebruikmaken. Deze code stuurde alle door klanten ingevulde gegevens naar de aanvallers. Meer dan 3400 websites werden door de aanval getroffen. CloudCMS meldt op Twitter dat de besmette JavaScript-bestanden zijn verwijderd.

Reacties (15)
13-05-2019, 10:14 door Anoniem
Hierdoor werden betaalgegevens die klanten op de betaalpagina invoerden naar de criminelen gestuurd.

Ok dan heb ik wat besteld bij een webwinkel en de criminelen hebben "mijn Ideal betalingsgegevens" ontvangen.
Maar hoe gaat het dan verder? Want ik kan me niet zo goed voorstellen dat criminelen daar wat mee kunnen.
13-05-2019, 10:29 door Anoniem
Door Anoniem:
Hierdoor werden betaalgegevens die klanten op de betaalpagina invoerden naar de criminelen gestuurd.

Ok dan heb ik wat besteld bij een webwinkel en de criminelen hebben "mijn Ideal betalingsgegevens" ontvangen.
Maar hoe gaat het dan verder? Want ik kan me niet zo goed voorstellen dat criminelen daar wat mee kunnen.
Als onder je ideal betalings gegevens ook je rekening nummer wordt weergegeven (weet ik niet zeker nooit op gelet)

Dan kunnen ze heel veel met deze gegevens
13-05-2019, 10:43 door Anoniem
Door Anoniem:
Hierdoor werden betaalgegevens die klanten op de betaalpagina invoerden naar de criminelen gestuurd.

Ok dan heb ik wat besteld bij een webwinkel en de criminelen hebben "mijn Ideal betalingsgegevens" ontvangen.
Maar hoe gaat het dan verder? Want ik kan me niet zo goed voorstellen dat criminelen daar wat mee kunnen.
Met ideal niet, wel als je met creditcard betaalt.
13-05-2019, 11:38 door Anoniem
Iemand de *.nl domeinen inzichtelijk?
13-05-2019, 11:59 door Anoniem
vergeet de standaard lekgegevens niet, naam adres woonplaats etc.
13-05-2019, 13:18 door Anoniem
Nu ben ik even gaan kijken via zoekopdracht in de paginabron van websites en daar trof ik bij sommigen onderstaande regel aan:

src=//assets.pcrl.co/js/jstracker.min.js

Dan weet je dus dat de website is gecompromitteerd.
Maar ik neem aan dat het domein geblokkeerd zal worden (dus vullen die criminelen gewoon een ander domein in.)
Dat betekent dus dat ik bij een bestelling elke keer de code van de webshop moet nakijken of er sprake is van form-jacking.

Niet bepaald een leuk vooruitzicht.

Wie wil een extensie voor Firefox en Chrome ontwikkelen om deze form-jacking te detecteren?
13-05-2019, 14:22 door Anoniem
CloudCMS meldt op Twitter dat de besmette JavaScript-bestanden zijn verwijderd.
Weet iemand wanneer deze JavaScript-bestanden zijn verwijdert, bijvoorbeeld zondag of was het maandag.
13-05-2019, 15:51 door Anoniem
Als onder je ideal betalings gegevens ook je rekening nummer wordt weergegeven (weet ik niet zeker nooit op gelet)
Volgens mij niet, de winkel stuurt je naar een betaal site en die staat los van de site van de winkel, maar ik weet
dit niet zeker, mischien iemand anders wel.
13-05-2019, 15:56 door Anoniem
op nog onbekende wijze - dus het kan dit komend weekend net zo makkelijk weer gebeuren?
13-05-2019, 17:14 door ph-cofi
Pihole/dnsmasq setting voor picreal (en hotjar ook maar gelijk). Klaar.
13-05-2019, 18:19 door Anoniem
Wie is aansprakelijk voor het lek?

Hebben alle websites al ONVERWIJLD melding bij de AP gedaan zoals wettelijk verplicht?
13-05-2019, 20:16 door Anoniem
Dat webwinkelen wordt er sowieso niet leuker op. Recent ergens een bestelling willen plaatsen, tijdens het afrekenen werp ik 'n blik in uMatrix https://www.mupload.nl/img/fqxx4rszg0.jpg. Meest schokkende is nog wel dat facebook een script mag uitvoeren op een pagina waar ik mijn persoonsgegevens aan het inkloppen ben.
Die bestelling is dus niet doorgegaan.
14-05-2019, 20:58 door Anoniem
Kijk hier wat er zoal aan zo'n website te verbeteren valt, https://webhint.io/scanner/7b089926-2b22-4ff9-8296-4e0009b435d5 630 tips, ook vele op security-gebied.

Te weing security header settings, waardoor zulke bedreigingen zulke lekken kunnen gaan opleveren, CSP, ook te weing te vinden bij hosters en de clouddiensten-"jassers". Het "security als sluitstuk" gaat zich nu op grote schaal "uitbetalen" in negatieve zin, cybercriminelen en malcreanten wrijven zich in de handen en lachen zich de b*llen uit de broek. Droevige zaak.

luntrus
15-05-2019, 10:33 door Anoniem
Onveilig i.v.m. min.js injectie, overweeg: https://www.virustotal.com/#/url/b0d83f92342befc2ef7a70bdcab23406f18f9e226e1ad9f44b1cf1d0dea73556/community
zie: -https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct 4 keer gerapporteerd als onveilig.
Zie: https://www.virustotal.com/#/url/6609e4c740eb57ca2d091b212978d902f10f9b8734498715e937fc48360d3a8a/detection
Kaspersky detecteert dit script als kwaadaardig..

luntrus
16-05-2019, 08:53 door Anoniem
Gebruikers kunnen hier weinig mee. Hier moet de onderhouder van de site en webserver controleren via SRI tags etc.
Ook goed weten waar 3rd party code vandaan komt...facebook? Echt.? Gecontroleerd via ctrl +shift +i?
luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.