Sikkerhedsforsker: Republikansk webshop hacket - sendte betalingskortoplysninger til russisk server i seks måneder
Hvis du den senere tid har bestilt en 'Never Hillary'-sticker fra en webshop tilknyttet det amerikanske parti Republikanerne, så er der måske god grund til at holde et vågent øje med dine kontoudtog.
I hvert fald fortæller den hollandske sikkerhedsforsker Willem de Groot i et detaljeret indlæg, at webshoppen under 'Senate Republicans' har været hacket i de seneste seks måneder.
Det vil sige, at der har været lagt ondsindet kode på sitet, som har skimmet betalingskortoplysninger. Oplysningerne har de Groot forsket sig frem til er endt på en russisk server. Der ligger en længere efterforskning bag den konklusion, som i øvrigt kan læses i sin helhed i indlægget.
Under de Groots Github ligger flere værktøjer relateret til e-commerce-platformen Magento. Blandt andet et værktøj kaldet MageScan, der har til formål at scanne efter sikkerhedsproblemer på webshops sat op med e-commerce-softwaren Magento.
To domæner
Ifølge de Groot har skimmingen af betalingskort-oplsyninger fundet sted fra https://store.nrsc.org/ i perioden 16. marts i år og frem til 5. oktober. Altså for få dage siden. Willem de Groot oplyser i den forbindelse, at sitet blev sikret 6. oktober, men Republikanerne ikke er kommet med nogen oplysninger i den forbindelse.
Betalingskort-oplysningerne er ifølge de Groot trukket ud af shoppen via to forskellige høstnings-domænder, henholdvis jquery-cloud.net og jquery-code.su
»Den ældste høster, jquery-cloud.net, blev registreret i december 2015 af en amerikansk dame med et kinesisk faxnummer og en falsk mail-adresse. Den nyeste høster, jquery-code.su, er registreret anonymt per 24. august (i år, red.),« oplyser de Groot i sit indlæg.
Han har også fundet frem til, at begge domæner ligger hos et firma kaldet Dataflow.
Dataflow har et russisk-sproget website, og firmaet er registreret i det mellemamerikanske land Belize 3. november 2015. Adressen som firmaet ligger på, dukker også op i de såkaldte Panama-papirer, bemærker de Groot.
I forhold til den ondsindede kode på https://store.nrsc.org/ , så er der tale om javascript.
»Den opdagede javascript-kode kører skjult i browseren og aktiveres, når tekst bliver indtastet på betalingssiden. Alt tekst bliver så kopieret og - igen skjult i baggrunden - sendt til en udenlandsk server,« skriver de Groot i et andet indlæg.
I indlægget går han længere ned i de tekniske detaljer omkring det ondsindede javascript.
»Denne kløgtige form for kort-skimming har stået på i et stykke tid, mindst siden marts. De skyldige gemmer sig bag et skuffeselskab i Belize. Deres forretning er hastigt voksende, hvilket jeg vil illustrere i min næste post,« lyder den afsluttende cliffhanger i de Groots indlæg.
Det kommer iøvrigt ikke ind på, hvordan sitet er blevet inficeret i første omgang. På Reddit fortæller de Groot, under aliasset Gwillem, at det skyldes gammel og upatched software.
I den forbindelse bemærker han i øvrigt, at det nye site, der er sat up for at erstatte den sårbare kode, skulle være en uddateret Wordpress.
Willem de Groot har desuden begået en video, hvor han gennemgår lyssky setup.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
