Security
hacker op laptop

‘Datadiefstal Ticketmaster valt onder brede skim-actie’

'Data-incident' onderdeel van grootschalige skim-actie.

© CC0 - Pixabay methodshop
10 juli 2018

'Data-incident' onderdeel van grootschalige skim-actie.

Het datalek dat Ticketmaster op 27 juni jongstleden trof, was onderdeel van een grootschalige online skim-actie. Dat zegt beveiligingsbedrijf RiskIQ op basis van eigen onderzoek. Vele andere grote e-commercesites zouden eveneens de dupe zijn van de verantwoordelijke cybercrimebende, die Magecart wordt genoemd. 

Eind juni maakte Ticketmaster zelf melding van het ‘data-incident’, reden voor online-beveiligingsbureau RiskIQ om de zaak nader te bekijken. Volgens het onderzoek van RiskIQ is het lek onderdeel van een vele malen grotere skim-operatie. De onderzoekers concluderen dat een groep van ongeveer 800 webwinkels slachtoffer is van de beruchte hackersgroep Magecart. De getroffen webshops zijn voor de bijl gegaan nadat ze code van derden in hun site hadden opgenomen. Deze code is bedoeld om de gebruikerservaring of de website zelf te verbeteren, maar wordt na opname op de e-commercesite veranderd door de hackers en vervolgens misbruikt om gevoelige informatie te stelen.

Code van derden

Deze 'code van derden' was in het geval van Ticketmaster software van het bedrijf Inbenta. Die leverancier van chatfuncties aan onder andere webwinkels gaf daags na de hack al toe dat zij degene waren die waren gehackt. De datadiefstal bij Ticketmaster kon plaatsvinden doordat de code van Inbenta ook was geïmplementeerd in de betaalomgevingen van de kaartjesmagnaat.

Inbenta was hier naar eigen zeggen niet van op de hoogte en zou dit hebben afgeraden indien het er weet van had, vanwege gevaren voor de veiligheid. De chatsoftware in kwestie is niet gemaakt voor gebruik in die gevoelige omgeving, verklaart de producent. Toch stond de, inmiddels door hackers aangepaste, JavaScript-code ook in deze omgeving en zo kon het dat privacygevoelige informatie naar buiten lekte. 

Topje van de ijsberg

De onderzoekers noemen het lek bij Ticketmaster slechts het "topje van de ijsberg". Volgens Yonathan Klijnsma, onderzoeker bij RiskIQ en co-auteur van de publicatie van het beveiligingsbedrijf, hebben de Magecart-hackers "een bereik wat groter is dan ieder ander creditcard-lek tot nu toe" en is "het einde nog lang niet in zicht". Door de code-aanpassing zouden de hackers volgens de onderzoekers op korte termijn vele duizenden mensen kunnen duperen.

Volgens de onderzoekers is het gevaar van de online skim-actie ook vele malen groter dan gedacht en groter dan gemeld door zowel Ticketmaster als ook Inbenta. Het is namelijk gemeengoed om websites te ondersteunen met code ‘van buiten’ om de gebruikerservaring, het prestatieniveau of de dienstverlening daarop te verbeteren. Tegelijkertijd legt de publicatie van RiskIQ het grote gevaar bloot dat het binnendringen van een veelgebruikte hulptool privacygevaar - en zelfs concrete financiële risico's - kan opleveren op vele andere sites waar deze code in is opgenomen.

Ook andere tools lekken

Volgens RiskIQ is de Inbenta-chatbot namelijk niet de enige geïnfecteerde hulptool. Zo zou code van SociaPlus, een analysetool voor social media management, ook zijn aangepast en op de achtergrond creditcardinformatie skimmen. Op deze manier zou de Magecart-groep van de vele wereldwijde Ticketmaster-sites, maar ook van andere grote e-commerce sites, creditcardinformatie in handen krijgen die bij het afrekenen op de websites door gebruikers is ingevoerd.

De hackers zouden de code “versluierd” aan het einde van de JavaScript-bibliotheek hebben ingevoerd, en dit bij vele andere tools hebben gedaan. Vooral de code van tools die deze webshops voorzien van informatie voor het personaliseren van de webpagina’s, support en gebruikersanalyses zouden op grote schaal worden geïnfecteerd en aangepast.

Volgens de onderzoekers kunnen de hackers al sinds 2015 vrijwel ongestoord hun gang gaan.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.