Criminelen gebruiken Google Anlytics om creditcardgegevens bij webwinkels te stelen. Dat stelt beveiligingsonderzoeker Richard Wells van Trustwave SpiderLabs. Google Analytics is een programma waarmee websites gegevens en statistieken over hun bezoekers kunnen verzamelen.
Onlangs analyseerde Wells een aanval op een e-commercesysteem van een webwinkel waar de betaalpagina was aangepast. De onderzoeker stelt dat aanvallers normaal hij het inbreken op een e-commercesysteem meteen voor de opgeslagen creditcardgegevens gaan, of ze wijzigen de code, zodat creditcardgegevens worden opgevangen zodra die zich in het systeem bevinden.
In het incident dat Wells onderzocht bleek de webwinkel geen creditcardgegevens op te slaan, waardoor de aanvaller de code van de betaalpagina aanpaste. Via een paar regels code werden ingevulde creditcardgegevens opgeslagen. Normaliter zou er code met het IP-adres volgen waar de aanvaller de opgeslagen data naar toe wilde sturen. In dit geval bleek dat de aanvaller geen IP-adres gebruikte, maar Google Analytics.
De webwinkel gebruikte namelijk al Google Analytics op de website. De aanvaller had echter het Google Analytics account-ID veranderd in een account-ID dat hij zelf had aangemaakt. Daarnaast was er code toegevoegd zodat de opgeslagen creditcardgegevens naar het Google Analytics-account werden doorgestuurd.
Het grote voordeel van de aanpak die Wells beschrijft is dat er geen data via de server van de webwinkel wordt verstuurd, waardoor er ook geen sporen in de weblogs verschijnen. Alle ingevoerde gegevens worden namelijk direct naar Google Analytics gestuurd. De onderzoeker herhaalde de werkwijze en ontdekte in zijn geval dat Google niet verifieert of hij de eigenaar van de website was. Als oplossing hiervoor zou Google maar één geregistreerde Analytics-gebruiker per domein moeten toestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.