Co tam jakieś Morele. Setki sklepów "zgubiły" właśnie dane milionów kart kredytowych

Imiona, nazwiska, dane z kart płatniczych.105 sklepów z Europy i USA zostało ofiarą ataku grupy hakerów. Wśród nich jest co najmniej jedna polska firma

Podczas gdy w Polsce 2,5 mln rekordów wykradzionych z bazy Morele.net uchodzi za apogeum utraty danych, na Zachodzie nieznana jeszcze grupa crackerów stworzyła sobie prawdziwe eldorado. Z każdego ze 105 różnych sklepów wyprowadzili nie tylko bazy z nazwiskami i adresami e-mail, lecz karty płatnicze klientów.

Na trop złodziei wpadli badacze z firmy Qihoo 360. Jak twierdzą, atakiem zostały objęte sklepy zbudowane na silniku Magento. Crackerzy znaleźli sposób, aby wstrzyknąć sklepom złośliwy JavaScript, który poprzez domenę www.magento-analytics.com przekazywał wszystkie dane kart: numery, daty ważności, nazwiska właścicieli, kody CVV2. Tak oto obrabowali ponoć miliony osób. Niczego nieświadomych klientów co najmniej 105 sklepów, głównie w Europie i USA.

Za najbardziej znamienny przykład podano King Two, amerykański sklep z akcesoriami dentystycznymi. Niemniej na liście zainfekowanych widnieje też znajomo brzmiąca domena alkoholeswiata.com, należąca do warszawskiej firmy o łatwym do odgadnięcia profilu.

Nie wiadomo, jak doszło do zainfekowania witryn. – Nie ma wystarczającej ilości danych, aby określić, w jaki sposób hakerzy zainfekowali strony internetowe sprzedawców [wstrzykiwali złośliwy JS, ale nie wiadomo, jakim dokładnie sposobem; w Magento może być nieznana luka – przyp. red.] lub jakie luki wykorzystali – mówi jeden z badaczy, cytowany przez "The Hacker News". – Pewnym jest tylko, że wszystkie zaatakowane sklepy korzystały z systemu Magento – dodaje, wskazując analogię.

Dowiadujemy się ponadto, że wykorzystana technika nie jest nowa. Pojawiła się wcześniej przy okazji ataków na karty MageCart, w podmiotach takich jak Ticketmaster, British Airways i Newegg. Spece nie chcą jednak wiązać obydwu spraw. Są przekonani, że stoją za nimi dwie różne grupy.

Analizując domenę więcej nie ustalono. Została zarejestrowana w Panamie. Natomiast adres IP kierował do, odpowiednio: Arizony, Moskwy i Hongkongu. Ślady są dobrze zacierane.

Zważywszy na okoliczności, wszystkim administratorom sklepów zaleca się, aby korzystali z Content Security Policy (CSP). Czyli standardu bezpieczeństwa, który pozwala na zdefiniowanie, skąd witryna może ładować dodatkowe zasoby i jakie to zasoby mają być. To taka swoista "biała lista".

Klienci sklepów powinni jak najszybciej zastrzec karty i zmienić wszelkie hasła, które były podane na sklepowych kontach. Warto regularnie sprawdzać wyciągi z kart. Poszukując nieznanych transakcji. W takim wypadku pieniądze powinno udać się odzyskać, dzięki usłudze chargeback.