Hollandsk sikkerhedsforsker om nyt Bahne-hack: Sandsynligt at samme sårbarhed er genbrugt

4. januar 2019 kl. 15:061
Hollandsk sikkerhedsforsker om nyt Bahne-hack: Sandsynligt at samme sårbarhed er genbrugt
Illustration: bahne.dk.
Kriminelle har igen haft held til at liste ondsindet skimmer-software ind på Bahnes website.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Isenkræmmer-virksomheden Bahne har igen haft ubudne gæster virksomhedens webshop.

Det vil sige, it-kriminelle hackere - igen - har lagt såkaldt skimmer-kode ind i systemet, som har til formål at opsnappe de betalingskort-oplysninger, kunderne indtaster, når de vil købe noget på webshoppen.

Den hollandske sikkerhedsforsker Willem de Groot har specialiseret sig i at detektere denne type angreb mod e-commerce-platformen Magento, som Bahne og mange andre webshops kører på.

Willem de Groot scanner automatisk domæner for den slags angreb og ifølge ham er domænet bahnefirmagaver.dk blevet inficeret 30. december, mens bahne.dk - der huser online-butikken - blev inficeret 31. december.

Artiklen fortsætter efter annoncen

Bahne opdagede angrebet om aftenen den 2. januar, og virksomheden pillede sitet ned kort efter.

Bahnes administrerende direktør, Benjamin Røpke, fortæller, at angrebet blev opdaget via et overvågningssystem, som holder øje med online-butikken. Ifølge Benjamin Røpke intensiteten af overvågningen blevet skruet op siden november, hvor Bahne oplevede et lignende angreb. Alligevel gik der tre dage før Bahne opdagede den aktuelle inficeringen.

Webshop-skimming

Når kortoplysninger bliver opsnappet på webshops, kaldes det også skimming. Det foregår ved, at it-kriminelle finder en vej ind i systemerne og indlejrer ondsindet kode på webshoppen med henblik på at høste kortoplysninger. Det er en relativt velkendt teknik, der har eksisteret i flere år. I den analoge verden kan det sammenlignes med, når fysiske hæveautomater udstyres med såkaldte skimmere, der aflæser informationer fra betalingskort.

»Hvorfor det ikke er blevet opdaget inden for de tre dage? Det ved jeg simpelthen ikke,« siger Benjamin Røpke.

Tre dage er under alle omstændigheder bedre end november-angrebet, hvor der gik flere uger, før virksomheden opdagede, at sitet var blevet hacket. I løbet af den tid kunne den ondsindede kode i princippet skimme folks betalingskortoplysninger.

Artiklen fortsætter efter annoncen

Dengang blev 3.337 kunder bedt om at spærre deres kort for en sikkerheds skyld. Nu er det 473 kunder, som kan have fået stjålet deres betalingskort-oplysninger i perioden, hvor sitet har været kompromitteret.

»Vi er super kede af det, og det er pænt irriterende,« siger han og tilføjer:

»Jeg er med på, at der sker mange af de her ting rundt om i verden, og jeg er med på, at det kan ske én gang. Det bør ikke ske, men det kan åbenbart ske. Men når det sker anden gang, så bliver vi nødt til at tage alle forholdsregler, der overhovedet kan tages.«

Eksperter i gryder og kjoler

Benjamin Røpke var af den opfattelse, at virksomheden havde taget de nødvendige forholdsregler efter november-hacket. Her fulgte Bahne råd og vejledning fra it-folk.

»Vi driver jo en detailvirksomhed og en online-butik og er eksperter i gryder og kjoler. Og så må vi jo stole på, at når vi har eksterne eksperter på, så kan de råde og vejlede os,« siger han.

Da bahne.dk blev angrebet i november, åbnede hjemmesiden igen efter cirka tre timers nedetid. Denne gang er der to eksterne sikkerhedsvirksomheder involveret i arbejdet med at sikre sitet og forhindre, at noget lignende gentager sig. Og sitet forbliver lukket, indtil de eksterne samarbejdspartnere giver grønt lys.

»Denne gang holder vi sitet lukket, fordi vi ikke bare kan stole på, det, der blev gjort sidst, var nok,« siger Benjamin Køpke.

Forsøger man i skrivende stund at komme ind på bahne.dk, bliver man mødt med beskeden om, at Bahne.dk er ved at gennemgå en omfattende sikkerhedsopdatering.

Artiklen fortsætter efter annoncen

Indtil videre har direktøren ikke noget bud på, hvordan hackerne er kommet ind i bahne.dk's systemer. Han henviser til, at han endnu ikke har hørt noget tilbage om det fra de eksterne sikkerhedseksperter.

Nul-dages angreb mod plugins

Den hollandske sikkerhedsforsker med speciale i skimming-angreb mod Magento-platformen, Willem de Groot, har både registreret det aktuelle angreb mod Bahne og angrebet i november. Han har nogle teorier om, hvordan bahne.dk kan være blevet kompromitteret igen.

I en mail til Version2 forklarer Willem de Groot, at der er tale om samme aktør i forhold til begge angreb. Altså samme person eller personer, præcist hvem der er tale om, er uvist. Ifølge de Groot er aktøren kendt for at finde og misbruge 0-dages sårbarheder. Det vil sige huller i software, som der ikke er patches til.

Hullerne, som den pågældende aktør er specialist i at udnytte, er i de udvidelser, som Magento-kunder anvender.

Som de Groot tidligere har forklaret til Version2, kan kodekvaliteten i disse udvidelser være svingende. Derfor kan det være lettere for it-kriminelle at komme ind via udvidelserne fremfor hovedplatformen. Willem de Groot har også blogget om emnet her.

»Det er meget sandsynligt, at gerningspersonen (eller personerne, red.) har genbrugt den samme sårbarhed, eller at de har fundet flere, og Bahne kun delvist har fikset det. Bahne bliver nødt til at foretage en fuldstændig kodegennemgang (eng. audit) for at sikre kundernes privatliv,« lyder rådet fra Willem de Groot i en mail til Version2.

Han tilføjer, at Bahne ikke er alene, da 20 pct. af butikkerne, som bliver udsat for et skimmer-angreb, også bliver gen-inficerede. Det viser data fra hans scanner.

Bahne overvejer nu tilsyneladende at tage kontakt til de Groot. I hvert fald har den danske virksomhed kontaktet Version2 for at verificere navnet på den hollandske sikkerhedsforsker.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
6. januar 2019 kl. 18:30

Hvis firmaet skulle betale nyt kort, og erstatning for den tid og den gener som hacket har påført. Måske 300 til 500,- kr til samlige kortholder.

Så ville udgiften på 1 til 2 millioner nok betyde at man ikke drak sig i hegnet nytåraften, eller hvad man nu har gjort. Og fik styr på sikkerheden.

Det vil også helt sikkert også betyde, at firmaer og netbutikker som ikke er deres opgave voksen, kan risikere at lukke. Og det ville sikkert også virke preventivt.