Fandt sin danske webshop på hackerliste: »Jeg tænkte jo bare, at det var noget lort«

Gastroudstyr.dk var indtil for nylig på en liste over butiksdomæner, der via ondsindet software tapper kunders betalingskort.

Mads Rasmussen er indehaver af gastroudstyr.dk, der sælger professionelt køkkengrej.

Han fik sig lidt af en overraskelse, da han surfede forbi Version2 fredag i sidste uge.

Her faldt han over historien om, at 29 danske domæner optrådte på en liste med web-butikker, der var blevet hacket og havde fået installeret ondsindet Javascript-kode til at stjæle kunders betalingskortoplysninger med.

Læs også: 29 danske domæner på aktuel liste over hackede online-butikker

»Det er lidt ligesom, når Ekstra Bladet skriver: 'Se om du har en eller anden sygdom'. Så kigger man jo lige for at se, at man ikke har. Men så stod vi der,« siger Mads Rasmussen.

Mads Rasmussens første prioritering var at få lukket ned for skimmingen, som angrebsteknikken bliver kaldt.

Samme navn anvendes om udstyr i den fysiske verden, som kan være påmonteret eksempelvis en hævekortautomat, og som ligesom Javascriptet tapper kunders betalingskort-informationer.

»Jeg tænkte jo bare, at det var noget lort, og 'hvad gør vi?'. Da jeg finder ud af det, så suspenderer jeg siden, og så fik jeg snakket med de personer, jeg skulle have fat i. Om lørdagen får vi fjernet skimming-softwaren,« siger Mads Rasmussen.

Han har efterfølgende været i kontakt med den hollandske sikkerhedsforsker Willem de Groot, som står for listen over kompromitterede domæner, for at sikre, at gastroudstyr.dk blev taget af listen.

Læs også: GitHub fjernede liste med hackede online-butikker - se den her

Gastroudstyr.dk bygger som mange andre sites på listen på Magento-butikssoftwaren.

Willem de Groot har understreget, at han ikke mener, problemet er Magento, men dårligt vedligehold af software. En inficering af webshoppen vil eksempelvis kunne ske, når butikssoftwaren har åbne og kendte sikkerhedshuller. Det vil sige, at den ikke er patched.

Den udgave af butikssoftwaren, som har ligget på gastroudstyr.dk, har ikke været helt up-to-date, erkender Mads Rasmussen.

Vil fremover bruge scannings-site

Nu er butikssoftwaren dog ganske opdateret, fremgår det af en scanning via hjemmesiden magereport.com, der netop viser sårbarheder på sites med Magento-softwaren.

Magereport kommer til at udgøre en del af det fremtidige vedligehold på gastroudstyr.dk.

»Jeg vidste ikke, at der var sådan noget som Magereport, som scanner sitet. Men det er jo fantastisk. Ud over at vi vil sørge for, at alt er patched, så vil vi sørge for, at Magereport bliver kørt en gang om ugen for at være sikker,« siger Mads Rasmussen.

Version2 har været i kontakt med indehaveren af en anden inficeret webshop, som bestemt ikke ønskede at medvirke i en artikel, og som i øvrigt afviste, at shoppen var inficeret, selvom den ondsindede Javascript-kode var tydelig i sitets bagvedliggende HTML-kode.

»Det er jo en relativ lille webshop. Det er ikke noget at skamme sig over, som man skal gå og gemme. Vi kan lige så godt hjælpe hinanden, så meget vi kan, og sparre webshopperne imellem,« siger Mads Rasmussen og tilføjer i en opfølgende mail:

»Det, der skræmmer mig mest, er, at jeg selv finder ud af vi havde et problem. Hverken min betalingsudbyder eller hosting gør os opmærksom på det; jeg tror, det kommer som en stor overraskelse for mange, også omfanget, da jeg så over 5.000 webshops på den liste.«

Hvad tænker du om, at den liste blev offentliggjort?
»Det synes jeg er super. Jeg er jo også forbruger. Jeg er jo forsikret både privat og i mit firma mod hacking og mod, at mit betalingskort bliver misbrugt. Det er jo aldrig fedt. Jeg synes lige så godt, man kan spille med åbne kort. Min sikkerhed bliver ikke bedre af, at jeg sidder og nørkler med det selv. Det handler om at få hjælp af nogle personer, der har nogle kompetencer på det felt,« siger Mads Rasmussen og tilføjer - ligeledes i en opfølgende mail:

»Som sagt er det nemmere, hvis vi løfter i flok og hjælper hinanden webshopperne imellem.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Joe Sørensen

[...] Jeg synes lige så godt, man kan spille med åbne kort. Min sikkerhed bliver ikke bedre af, at jeg sidder og nørkler med det selv. Det handler om at få hjælp af nogle personer, der har nogle kompetencer på det felt,« siger Mads Rasmussen

  • 24
  • 0
Povl H. Pedersen

Hvor er Nets og PCI i dette ?
Der skal som minimum laves kvartalsvise sårbarhedsscanninger hvis man er PCI ramt, og det er man med 1 årlig betaling i butik eller på nettet. Det er så self assessment, men man skriver vel under på, at man får foretaget disse scanninger.

Går ud fra at minimum er self-assessment-quationaire SAQ A-EP hvis det er 3rd party der er PCI compliant der håndterer kortinfo (IFRAME / Redirect). Dette gæder ALLE webbutikker.

6.1 Is there a process to identify security vulnerabilities, ...
6.2 (a) Are all system components and software protected from known vulnerabilities by installing applicable vendor-supplied security patches?
(b) Are critical security patches installed within one month of release?

6.6 For public-facing web applications, are new threats and vulnerabilities addressed on an ongoing basis, and are these applications protected against known attacks by applying either of the following methods? ....

11.2.2 (a) Are quarterly external vulnerability scans performed?
Note: Quarterly external vulnerability scans must be performed by an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards
Council (PCI SSC).

  • 3
  • 0
Mads Bendixen

Det synes jeg mildest talt er en dårlig sammenligning. Software skal vedligeholdes, fordi verden ændrer sig. Biler skal vedligeholdes fordi bilen ændrer sig fysisk (nedslides).


Der var lige balladen omkring partikelfilter på dieselbiler. At det var dyrere at "fixe" det, end at lade være, stemmer meget godt overens med at lukke f.eks. sårbarheder.

Og så er der alle tilbagekaldelserne pga. sjusk ved produktion.

  • 0
  • 0
Klaes Sørensen

Sådan som jeg ser det med de her skimming scripts, så overtræder online butikken jo persondataloven, omkring logning og videregivelse af personlige informationer til 3. mand.
Derfor burde man som webbutik måske allerede nu lave en plan for kontrol af egen side, som de ved gastroudstyr.dk har besluttet, da det jo snart kan få store konsekvenser af overtræde den nye EU lovgivning, omkring persondata.

altså en form for egenkontrol på sin webside, ført ud i livet i en form for kvalitetssikring.

Men det lader til at der er mange der tror at det er at installere en online butik, også kører det bare, men faktum er jo at både server software og webside scripts jævnligt skal opdateres af sikkerheds hensyn.

Har selv haft skrevet til et par af butikkerne, og har aldrig fået et svart tilbage, eller et tak for din e-mail, og har da også set at der er 2 af butikkerne der stadig er på listen. og der mener jeg bare at har man den holdning til det, så må man også være voksen nok til at få indraget sin nethandel aftale med NETS. Da man så ikke har respekt for de kunder der bruger ens hjemmeside, og så kun tænker på sin egen indtjening.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize