Seks danske domæner fjernet fra dugfrisk hacker-liste

En ny-opdateret liste over webshops, der skimmer kortoplysninger, er netop blevet offentliggjort.

Den hollandske sikkerhedsforsker Willem de Groot har netop offentliggjort en opdateret liste over webshops, der efter en scanning ser ud til at have installeret ondsindet software, der skimmer betalingskort-oplysninger fra kunderne. Tidligere var der 29 danske domæner på listen, det nye antal her fredag eftermiddag er 23.

Tilsyneladende har fokus på problemet altså bevirket, at seks sites har opdateret deres software og fjernet malwaren. Det er uvist, hvor længe de pågældende sites måtte har været inficeret.

I et indlæg fortæller de Groot,, at han i forbindelse med offentliggørelsen af den tidligere liste blev truet med sagsanlæg af flere indehavere af onlineforretninger. Butiksindehaverne har hævdet, at de ikke har været inficerede. Men det har de faktisk, fortæller de Groot med henvisning til arkiverede hjemmeside-data fra archive.org.

GitHub, hvor listen var hostet under, endte med at fjerne den. De Groot har ikke hørt nærmere fra GitHub i den forbindelse.

I sit indlæg fortæller de Groot også, at problemet med skimming langt fra er nyt, og at han skrev om det tilbage i 2015. Siden er antallet af inficerede web-butikker ifølge de Groots målinger nærmest fordoblet.

Den ny-opdaterede liste, som er udgjort af data indsamlet i dag, fredag 14. oktober, ligger hos GitLab i stedet for GitHub.

»Jeg har forståelse for, at hvis du er handlende, så er det ikke en fornøjelse at være på denne liste. Jeg er fuldstændigt enig i, at offentliggørelsen af denne liste af kompromitterede forretninger er en hård foranstaltning (eng. tough measure.). Jeg mener dog, dette er bedre end at lade problemet blive større (som det har gjort siden 2015.),« står der i de Groots indlæg.

Herefter opfordrer sikkerhedsforskeren indehavere af online-forretninger til at scanne deres shop med værktøjet Magereport, som kan finde sårbarheder i Magento-shop-softwaren.

Herefter opfordreds butiksindehaverne til at tage en screenshot af den rensede forretning fra scanning, hvorefter de Groot vil fjerne butikken fra listen.

Fra den 10. til den 14. oktober er 631 butikker blevet renset, fortæller de Groot. Og de rensede butikker ser altså ud til at tælle seks danske domæner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Er det ikke normalt sådan på Internettet, at når først man truer med retssager og lignende for at få noget fjernet.
Så er det først at det bliver delt, linket og set.

Samt fundet i google søgninger, på første side :-)

Det har endda fået et navn som jeg først lærte for nogen uger siden. Og nu har jeg glemt det :-) Andre ?

Og nu kan jeg ikke huske det, men det er navngivet efter en skuespiller, som ikke vil have sin villa /hus vist, efter at var kommet med, da et projekt have fotograferet hele kystlinjen. Fra at det var 2-3 der have set det, her af 2 af dem advokater fra frøken, så steg visninger ganske meget, da hun anlagde sag. Det samme kan jo ske her.

  • 0
  • 0
Anders Lorensen

Er det ikke mere relevant at finde ud af om de 29 danske domæner har kontaktet deres kunder og fortalt dem at deres kreditkort oplysninger med sikkerhed er blevet stjålet? Var jeg journalist, var det da noget jeg vil gå i dybden med og skrive en artikkel om.

Ang. "Når man vil have fjernet noget": https://da.wikipedia.org/wiki/Streisandeffekten

  • 2
  • 0
Bent Jensen

Ser nu også ud til at være kopier, eller lignende sat op, for måske netop at skimekort, end for at sælge noget. Samt det er ikke Danskejet butikker.

Hvad gør Politiet, PET og FET, Juristministeret og Søren Pind med alle deres torskedume brug af milliarder, her kunne de med meget lidt indsat gøre noget effektivt. Men det er sikkert for nemt, og de kommer ikke i fjernsynet for det.

Eller hvis de ikke kan/gider stoppe sådan noget, hvordan har de så tænkt sig at stoppe eller gøre noget ved terror eller udbredelsen, som er deres sidste nytteløse stunt

Men jeg har gjort noget, uden brug af milliarder og big data. Har anmeldt dem alle på trustpilot og advaret imod dette. Det er da langt bedre end det som vi ser fra offentlige myndigheder og regeringen. Men nu er det jo også weekend.

https://dk.trustpilot.com/review/tandpriser.dk

Se i øvrigt hvordan trustpilot, stadig giver middel anmeldelse selv om der kun er en, et stjernet anmeldelser. Det er for at kunne give deres dummebøde betalende kunder, et UG.

  • 0
  • 2
Klaes Sørensen

Ser nu også ud til at være kopier, eller lignende sat op, for måske netop at skimekort, end for at sælge noget. Samt det er ikke Danskejet butikker.

Hvordan har du bestemt at det ikke er danskejet butikker, der har .dk domæner ?
og hvad har Politiet m.m. at gøre med at der har været et sikkerhedshul i den evt. software som en webshop har valgt at benytte sig af ?

  • 1
  • 0
Bent Jensen

Hvordan har du bestemt at det ikke er danskejet butikker


Nu har jeg været igennem samtlige sider, og det var min fornemmelse, som faktisk plejer at stemme.

Og nu snakkes det ikke om et sikkerhedshul, med direkte om software som er installeret på siden, og som høster kortoplysninger. Som jeg har forstået det.
Når sådan direkte kriminelle ting, som synes meget nemt at få stoppet, ikke bliver det. Hvad bruger de så alle pengene til, ud over julefrokosterne.

  • 0
  • 3
Klaes Sørensen

Nu har jeg været igennem samtlige sider, og det var min fornemmelse, som faktisk plejer at stemme.

Og nu snakkes det ikke om et sikkerhedshul, med direkte om software som er installeret på siden, og som høster kortoplysninger. Som jeg har forstået det.

Hvis du så besøger siderne en gang til med .dk domæner også slår dem op på DK-hostmaster's hjemmeside, så vil du se at det er sider der har eksisteret i lidt mere end et par år, og som har og er reelle virksomheder i danmark.

Jeg syntes du skal passe på med at anklage reelle virksomheder for at være fup.

Og det som jeg forstår der er sket (andre må gerne rette mig hvis jeg tager fejl) er at der har været et sikkerhedshul i den butikssoftware der hedder magento, hvor det har været muligt at injecsere noget javascript via evt en URL, eller en formular, som så har lagt sig som en del af hjemmesiden.

Men jeg kan tage fejl da jeg ikke arbejder så meget med hjemmesider mere.

  • 1
  • 0
mads Schmidt

Hej

Jeg ejer en af de sider som har været "hacked", og har som mange af de andre sider på listen en normal og bestemt lovlydig forretning...
Jeg blev naturligvis nysgerrig da jeg læse versions 2 nyhed om hvad der var sket med de her danske webshops, og gik der ind og ville se hvem de var (for jeg tænkte at jeg jo ikke var en del af den liste) derfor blev jeg meget overrasket over at jeg stod på listen, da jeg generelt føler vi har en god sikkerhed på min shop.

Efter jeg fandt ud af vi var på listen (fredag eftermiddag) hang jeg i telefonen med udbyder, epay og udvikler mm. men det var fredag eftermiddag...Så der var ikke meget feedback ;) - Alligevel lykkedes det os at fjerne det "hack" der bliver omtalt 8 timer efter vi fandt det (vi var lukket ned imellemtiden) og har nu testet vores site med de værktøjer der er til rådighed, og alt ser nu ud til at være ok.

Vi har naturligvis altid opdateret vores software, platform osv...
Problemer har været at jeg selv opdager det fordi jeg tilfældigt browser denne side :(
Det er klart noget vi skal have en snak med vores udviklere om.

Undskyld hvis jeg ikke giver mening, men har ikke sovet skide meget

  • 12
  • 0
Bent Jensen

Undskyld hvis jeg ikke giver mening, men har ikke sovet skide meget


Der burde så være nogen fra de kort udbyder, som i bruger, som følger så meget med. At de have kontaktet jer.
Surt Sjov.
Når du er fjernet på hjemmesiden, så skal jeg nok fjerne "stjernen" på trustpilot.
På alle de anmelder som jeg skrev, har jeg bedt trustpilot om at sende anmeldelsen til hjemmesiden også.
Så om ikke andet bliver i måske kontaktet af dem, med besked om at dårlig anmeldelser kan fjernes mod betaling.

  • 0
  • 1
Gert G. Larsen

Bare en thumbs up til dig Mads Schmidt!
Det er altid FEDT når en der har været udsat for angreb, står frem og fortæller om det.
Vi ender nogle gange med at sidde som en flok bedrevidende nørder herinde, og have alverdens meninger om "alle de der idioter, der bare ikke kan sikkerhed og IT godt nok".
Vi laver alle sammen vores smuttere, og et moderne CMS/website/webshop er drønsvært at holde "Sikkert" på alle leder og kanter.

Har du styr på hvordan hacket skete i første omgang?

  • 5
  • 0
Klaes Sørensen

Jeg tillader mig at linke til den oprindelige BLOG post fra Willem, og det forklarer lidt om hvor man evt. kan finde koden i sin webshop database.

Ligesom jeg syntes det skal gøres klart at dette omhandler specifikt MAGENTO cms / E-commerce webshop løsning

LINK TIL OPRINDELIG BLOG POST FRA 17. NOV 2015 :
https://www.byte.nl/blog/widespread-credit-card-hijacking-discovered

Hvis V2 ikke syntes det er ok, så rediger bare, men jeg syntes at vi der læser V2 omkring sådan en nyhed skylder lidt at hjælpe de berørte danske butikker så meget som nu muligt, i forhold til at de hurtigt bliver gjort til syndebuk af andre, der drager forhasted konklusioner omkring fake webshop osv.

  • 3
  • 0
Palle Due Larsen

Så uden at kontakte ejerne af de berørte websites er du gået direkte i gang på Trustpilot?


De brugere, der potentielt kan få hugget deres kreditkortoplysninger, vejer tungere end butiksejerne. Der er jo ikke tale om en sårbarhed, der måske kan udnyttes. Der har faktisk været nogen inde og lægge kode, der videresender kortoplysninger.
Jeg synes, Bent har gjort det rigtige her.

  • 3
  • 1
Log ind eller Opret konto for at kommentere