News Skimming: Mindestens 1.000 deutsche Online-Shops infiziert

[Schrammler]

Verstehe auch nicht, wieso die nicht von allen Newsseiten groß abgedruckt werden. Da würden die Updates deutlich flotter laufen.

..oder auch nicht. Ich kaufe nicht wenig online ein, auch lieber bei "kleinen Shops" als Amazon das Geld in den Rachen zu werfen oder Drückergebühr an die abzutreten, aber in den Listen steht kein einziger davon

 

[Visceroid]

Ich verstehe nicht warum man bei Urheberrechtsverstößen die Provider zu sperren zwingen kann, in solchen Fällen aber nicht.
Alle betroffenen Seiten sollten sofort von den Providern gesperrt werden, dann werden die Shopbetreiber schon draufkommen dass Sie was machen sollten.

 

[OdinHades]

Ich werde ja immer wieder paranoid genannt, weil ich nur sehr ungern im Internet einkaufe und stets nur Bar bezahle, weil ich mir um meine Daten Gedanken mach. Tjoa. =P

 

[Pitviper]

Und hier ist nur die rede von deutschen Domains, wenn die ganzen Domains aus Ö, CH, und sonstwas noch dazukommen....uiuiui

 

[Forum-Fraggle]

Ich verstehe nicht warum man bei Urheberrechtsverstößen die Provider zu sperren zwingen kann, in solchen Fällen aber nicht.

Weil der Kunde/Wähler keine Geldgeschenke bei den Parteien hinterläßt, die MI aber schon.

 

[Ozmog]

@ Pitviper
Nicht nur die .at und .ch kommen dazu, sondern auch die Shops, die .com oder eine andere Toplevel-Domain benutzen. Die Liste gilt nur für .de Domains, aber ob das wirklich alle betroffenen Seiten sind?

 

[feris]

Es sollte mal ein Gesetz eingeführt werden, das gleich nach dem Aufrufen solcher
Shops ein riesiger Hinweis erscheint, das die Software nicht die letzten Sicherheitspatches hat.
​

 

[NullPointer]

Sehe ich auch so. Für mich hört sich das eher nach einer Man in the Middle Attacke an.

Technisch betrachtet ist es kein MitM-Angriff, sondern Cross Site Scripting: Der Schadcode wird über eine Sicherheitslücke so in die Shopsoftware eingeschleust, dass er zusammen mit dem Rest der Website an den Kunden ausgeliefert und in dessen Browser ausgeführt wird. Ein uralter Klassiker der Web-Exploits, der einfach nicht totzukriegen ist.

Warum dieser spezielle Trick als "Online-Skimming" bezeichnet wird, erklärt der verlinkte Blogpost: In beiden Fällen werden legitime Dienste manipuliert, um Kartendaten abzugreifen - der Javascript-Schadcode übernimmt die Rolle des Skimmers.

 

[Low_End]

Bekomme ich deshalb seit neustem Spam Mails mit Zahlungsaufforderungen mit meinen richtigen und kompletten Adressdaten?

 

[ottoman]

Der Heise Link zeigt aber bei weitem nicht 1000 Shops.. wo ist also der Rest?

Hier sind alle: https://gitlab.com/gwillem/public-snippets/snippets/28813

 

[crackett]

Was genau nützt dem Leser diese News ohne eine aktuelle Liste der betroffenen Shops?
Da soll man als Nutzer permanent auf seine Passwörter achten und dann? Dann greift der deutsche "Verbraucherschutz" wie man ihn kennt - nämlich gar nicht.

 

[DeusoftheWired]

Warum dieser spezielle Trick als "Online-Skimming" bezeichnet wird, erklärt der verlinkte Blogpost: In beiden Fällen werden legitime Dienste manipuliert, um Kartendaten abzugreifen - der Javascript-Schadcode übernimmt die Rolle des Skimmers.

Online skimming is just like physical skimming: your card details are stolen so that other people can spend your money.

Na ja, schwache Begründung für die Benennung, wenn man das Ergebnis und nicht den Weg anführt. :/ Mit MitM oder XSS kann ich da weit besser leben. Und „legitimer Dienst manipuliert“ ist viel zu weit gefaßt – da könnte man alles gleich hacking nennen.

 

[rainbowxxl]

magento ist eh der letzte dreck. hab damit lange zutun gehabt und es war einfach extremst lahm und einfach nur schlecht.

 

[Nitschi66]

Hier die offizielle liste vom entdecker
einfach nach ".de" suchen
https://gitlab.com/gwillem/public-snippets/snippets/28813

 

[123peter]

Wenn das ganze seit Oktober bekannt ist und kein Shop es für nötig hält seinen Onlineshop upzudaten, warum dann nicht einfach einen Liste mit allen betroffenen Shops auflisten? Der Kunde ist damit gewarnt (schließlich geht es da um seine Daten) und die Shops haben mehr Druck durch ausbleibende Bestellungen.

Um eine lLste vorzufinden war der ausschlaggebende Punkt, warum ich überhaupt auf die news geklickt habe...

 

[Workstation-Fan]

Wenn ich das schon lese...

Magento kommt bei zahlreichen Händlern noch in einer veralteten Version zum Einsatz.

... da kann man den betroffenen Händlern doch echt nur den Bankrott wünschen!

Die Händler spielen bewusst mit den Daten ihrer Kunden, und das finde ich einfach nur unverschämt.

Amazon und stationärer Handel FTW!

 

[unique28]

magento ist eh der letzte dreck. hab damit lange zutun gehabt und es war einfach extremst lahm und einfach nur schlecht.

Ja und? Alternative?

Magento ist im Grunde schon sicher. Wenn der Händler aber Updates missachtet, gehört er wegen grober Fahrlässigkeit vor Gericht.

 

[Kharne]

Sobald es um Kreditkartendaten geht ist eh Schluss. Da stehen dann Visa, Mastercard und Co mit Forensikfirmen bei dir vor der Tür und nehmen den Shop auseinander.

Passiert aber leider nicht um die Kunden zu schützen, sondern weil´s dann an die Kohle der genannten Firmen geht...

 

[toriel]

Hallo an alle,
hab mich extra angemeldet, um ne Frage zu stellen.
Hab bei einem der Shops bestellt, allerdings per Amazon Marketplace. Die Daten werden ja anscheinend bei Eingabe während des Bestellvorgangs auf der Shop-Homepage abgegriffen. Somit dürfte diese Lücke für Bestellungen per Amazon nicht relevant sein? Hoffe ich zumindest...

 

[machiavelli1986]

Unter der .ch Domain gibt es den Shop watchzone.ch. Dieser müllt aktuell mit seiner Werbung Facebook zu. Dazu haben sie also scheinbar Geld, aber nicht für das Einspielen von ein paar Updates? Lächerlich solche Läden.

@toriel

Die Kaufabwicklung läuft ja über Amazon ab, sprich das Eingeben deiner Logindaten und Zahlungsdaten. Von daher sehe ich da kein Zusammenhang. Dürfte kein Problem sein.