Zahlungsdaten über tausende Online-Shops gestohlen

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35112
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Zahlungsdaten über tausende Online-Shops gestohlen

Beitrag von doelf » 10 Okt 2019, 18:50

Der Ecommerce-Anbieter Volusion aus Texas macht es seinen Kunden ganz leicht, einen eigenen Online-Shop zu eröffnen. Über 180.000 Kunden nutzen das Angebot der Firma, doch diese macht es leider auch Kriminellen sehr leicht und so greifen Kriminelle derzeit Bank- und Kreditkartendaten über tausende Web-Shops ab.

Angriff auf Baukasten potenziert Opferzahl
Einen einzelnen Online-Shop anzugreifen ist müßig, denn nicht jeder hat so viele Kunden wie Amazon. Da bietet es sich an, einen Anbieter für Shop-Baukästen ins Visier zu nehmen. Dem Ecommerce-Anbieter Volusion, der nach eigenen Angaben mehr als 180.000 Kunden hat, ist genau dies passiert. Und es zeigt sich, dass viel Kleinvieh eine Menge Mist produzieren kann: 185 Millionen Bestellungen mit einem Volumen von 28 Milliarden US-Dollar sollen bisher über die Shops von Volusion abgewickelt worden sein.

Script von Googles Cloud-Speicher nachgeladen
Wie der Sicherheitsexperte Marcel Afrahim von "Endpoint Security and Malware Research" bei seinem Besuch des offiziellen Sesamstraßen-Shops feststellen musste, wird beim Bezahlvorgang über Googles Cloud-Speicher (storage.googleapis.com) unter dem Namen "volusionapi" ein externes und somit verdächtiges JavaScript namens "resources.js" nachgeladen. Was auf den ersten Blick wie Open-Source-Code aussah, entpuppte sich bei näherem Hinsehen als Abgriff aller vom Kunden eingegebenen Zahlungsinformationen. Die Daten aus den Kreditkartenfeldern werden vom Script zunächst Base64-kodiert und dann im Sitzungs-Cookie "__utmz_opt_in_out" gespeichert. Dieses Cookie wird beim Beenden des Webbrowsers gelöscht, womit auch die Spuren verschwinden. Im Anschluss werden die Daten ausgelesen und verschlüsselt an die Webadresse "volusion-cdn.com/analytics/beacon" übertragen.

Wie Afrahim feststellen musste, wurde volusion-cdn.com erst vor einem Monat registriert und ist nicht unter Kontrolle von Volusion. Der tatsächliche Eigentümer von volusion-cdn.com lässt sich nicht über WhoIs ermitteln, doch die IP-Adresse 66.42.76.145 führt zu einem Cloud-Hoster im US-Bundesstaat New Jersey. Weitere Untersuchungen ergaben, dass das externe JavaScript "resources.js" über ein reguläres Script aus dem Shop-Baukasten - "a/j/vnav.js" - nachgeladen wird. Damit lag der Verdacht nahe, dass neben der Sesamstraße auch andere Volusion-Kunden betroffen sein könnten. Eine Suche lieferte prompt 6.593 Ergebnisse. Da die Datei "resources.js" auf den 12. September 2019 datiert, läuft der Angriff schlimmstenfalls schon einen ganzen Monat lang. Und auch zum jetzigen Zeitpunkt scheint des bösartige JavaScript weiterhin aktiv zu sein.

Keine Reaktion von Volusion oder Google
Afrahim hat sowohl Volusion als auch Googles Cloud-Team kontaktiert und über diesen großangelegten Abgriff von Kreditkartendaten informiert. Eine Reaktion blieb in beiden Fällen aus. Auch Sicherheitsfirmen wie Check Point und Trend Micro sowie ZDNet und andere Medien wurden bisher konsequent ignoriert. Auf Volusions Webseite und in den Blogs der Firma findet sich keinerlei Warnung oder Information über den Vorfall. Sicherheit: Fail. Reaktion: Fail. Informationspolitik: Fail. Vertrauen: Verschwunden.

Quelle:
https://blog.usejournal.com/sesame-stre ... eb51ec613b
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten