Škodlivý kód by sa mal na webstránke obchodu ešte stále nachádzať.
Webstránku najväčšieho amerického výrobcu ručných zbraní Smith & Wesson koncom minulého mesiaca napadli hekeri. Útočníci na ňu počas Magecart útoku umiestnili škodlivý kód, ktorý zachytáva osobné a platobné údaje zákazníkov z kreditných kariet pri objednávaní produktov.
Problém odhalil holandský výskumník Willem de Groot zo spoločnosti Sanguine Security, ktorá sa zaoberá bezpečnosťou platieb. Podľa neho sa použitý kód a infraštruktúra v tomto útoku zhoduje s kampaňou, na ktorú jeho zamestnávateľ upozornil koncom novembra. V oboch prípadoch si totiž útočníci zriadili doménu pod de Grootovým menom a vydávali sa za spoločnosť Sanguine Security.
Samotný kód, takzvaný skimmer, je však ťažko odhaliť. Na väčšine stránok výrobcu zbraní sa tvári ako neškodný JavaScript kód. Pokiaľ sa však zákazník pripojí na webstránku z americkej IP adresy a prehliadača, ktorý Linux nepodporuje (napríklad Safari), skript načíta dodatočný kód na zber informácií a na platobnej stránke vytvorí podvrhnuté polia pre zadanie platobných údajov. Veľkosť skriptu sa tak líši v závislosti od navštívenej stránky a sekcie.
Portál BleepingComputer v pondelok potvrdil, že škodlivý kód, ktorý bol na webstránku Smith & Wesson nahratý 27. novembra, sa tam stále nachádza. Správca webu však doposiaľ nezareagoval na nahlásenie problému. Je tak možné, že skimmer bude na webe ešte niekoľko dní.
Problémy s Magento
Webstránka výrobcu zbraní funguje na redakčnom systéme Magento. Vývojárska firma, ktorá stojí za touto platformou pre online obchody, začiatkom novembra oznámila, že objavila vážnu zraniteľnosť, ktorá dovoľovala útočníkom vložiť a následne spustiť škodlivý kód na webstránke predajcu. Svojich zákazníkov preto vyzvala, aby si nainštalovali patche, ktoré chybu odstránia.
V prípade Smith & Wesson je teda pravdepodobné, že útok umožnila práve chyba v neaktualizovanom redakčnom systéme.
O ďalšej zraniteľnosti vo svojom online obchode informovala firma Magento minulý týždeň. V správe pre svojich zákazníkov upozornila, že z Magento Marketplace, na ktorom ponúka rôzne motívy a rozšírenia pre platformu, útočníci ukradli niektoré údaje zaregistrovaných používateľov.
Únik sa má týkať ich mien, e-mailov, identifikačných čísel, fakturačných a dodacích adries alebo telefónnych čísel. Heslá ani finančné údaje však ohrozené neboli.
Magento si už viackrát prešiel niekoľkými bezpečnostnými incidentmi. Len začiatkom tohto roka bola spoločnosť nútená opraviť naraz takmer 40 chýb naliehavou aktualizáciou.
(SK + VK)