image

Malware op verschillende Intersport-sites en webshop Claire's stal creditcarddata

maandag 15 juni 2020, 12:43 door Redactie, 3 reacties
Laatst bijgewerkt: 17-06-2020, 14:57

Aanvallers zijn erin geslaagd om op verschillende websites van Intersport en de webshop van modeketen Claire's malware te plaatsen die de creditcardgegevens van klanten stal. Beide bedrijven hebben de code inmiddels verwijderd. In het geval van Intersport ging het om de webshops van Kroatië, Servië, Slovenië, Montenegro en Bosnië en Herzegovina.

Antivirusbedrijf ESET laat vandaag weten dat de code die de aanvallers aan de webshops toevoegden creditcardgegevens en andere persoonlijke data onderschepte en terugstuurde. Nadat de virusbestrijder Intersport had ingelicht werd de kwaadaardige code binnen een aantal uren verwijderd. Volgens securitybedrijf Sansec zijn de vijf Intersport-winkels vaker het doelwit geweest. Zo werd er op 30 april al eens code toegevoegd, die vervolgens op 3 mei werd verwijderd. Vervolgens was het op 14 mei weer raak.

Naast de aanval op de Intersport-webshops meldt Sansec vandaag dat afgelopen april de webwinkel van modeketen Claire's werd gecompromitteerd en voorzien van malware. Claire's heeft ook verschillende fysieke vestigingen in Nederland. De kwaadaardige code werd tussen 25 en 30 april toegevoegd. De domeinnaam die de aanvallers bij de aanval gebruikten was al op 20 maart geregistreerd. Mogelijk dat de aanvallers vier weken nodig hebben gehad om de webshop te compromitteren, aldus Sansec.

Claire's heeft de code inmiddels verwijderd en stelt dat het een onderzoek heeft ingesteld om te kijken van welke klanten de gegevens zijn gecompromitteerd, zodat het die kan waarschuwen. Creditcardbetalingen in de fysieke winkels hebben geen risico gelopen. Verder zijn zowel creditcardmaatschappijen als de autoriteiten gewaarschuwd.

Update

Intersport laat in een reactie aan Security.NL weten dat de malware die op de websites werd geplaatst geen persoonlijke data en creditcardgegevens heeft gestolen, aangezien betalingen via een ander betaalplatform lopen.

Reacties (3)
15-06-2020, 13:49 door DLans
Is dit niet simpel op te lossen door een notificatie mechanisme "iets is gewijzigd op de website / pagina". Plan updates op je website in en alles wat niet overeenkomt met je eigen tijden is dan verdacht? Of denk ik nu te simpel?
15-06-2020, 17:02 door Anoniem
Door DLans: Is dit niet simpel op te lossen door een notificatie mechanisme "iets is gewijzigd op de website / pagina". Plan updates op je website in en alles wat niet overeenkomt met je eigen tijden is dan verdacht? Of denk ik nu te simpel?
Is inderdaad een mogelijkheid, maar niet op de live server doen want de inbrekers kunnen de check natuurlijk dan ook aanpassen/omzeep helpen.

Ik doe dat als volgt:
- rsync backup
- file hash op de backup
- stop hash mismatches in een lijst (en de nieuwe bestanden)
- rapporteer de lijst
15-06-2020, 23:33 door The FOSS
Claire's heeft de code inmiddels verwijderd en stelt dat het een onderzoek heeft ingesteld om te kijken van welke klanten de gegevens zijn gecompromitteerd, zodat het die kan waarschuwen.

Geweldig maar als ze niet weten hoe die code erop is gekomen (exploit; compromised logins; ?) dan heeft weghalen geen zin. De aanvallers zetten 'm dan immers gewoon weer terug.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.