Im Vorfeld der Bayern-Wahl am Sonntag haben Unbekannte offenbar den offiziellen Online-Shop der Christlich-Sozialen Union (CSU) gehackt: Seit mindestens dem 5. Oktober sammelt ein bösartiges Skript die personenbezogenen Daten der Käufer. Nach Einschätzung des unabhängigen Sicherheitsforschers Willem de Groot, der die Sicherheitslücke entdeckte, drangen die unbekannten Angreifer entweder über eine ungepatchte Sicherheitslücke oder ein schwaches Admin-Passwort in das Backend der Webseite ein, welche die verbreitete Shop-Software Magento nutzt. So gelang es ihnen, bösartigen JavaScript-Code einzuschleusen, der beim Bezahlprozess die Daten des Käufers an einen Server unter ihrer Kontrolle schickt.

Politisch motivierter Hack?

Momentan ist nicht klar, ob der Angriff politisch motiviert ist. Dass die Hacker die Webseite so kurz vor der Bayern-Wahl geknackt haben, deutet wenigstens darauf hin, dass sie wussten, dass auf der Website in diesem Zusammenhang mit höherem Besuchsaufkommen zu rechnen sein wird. Da der CSU-Online-Shop nur externe Bezahldienstleister wie Amazon und PayPal verwendet, muss den Angreifern eigentlich von Anfang an klar gewesen sein, dass sie auf dem von ihnen gewählten Angriffsweg keinen Zugriff auf Bezahldaten haben. Die Mailadressen, Klarnamen und postalischen Adressen der Käufer lassen sich so allerdings ohne weiteres erbeuten. Vielleicht war das Timing des Angriffs allerdings auch reiner Zufall.

Wie Sicherheitsforscher de Groot in seinem Bericht zu der Lücke schreibt, hat der CSU-Shop zumindest eine ungepatchte Magento-Sicherheitslücke: SUPEE-8788 vom Oktober 2016. Aktuell ist der Schadcode im Online-Shop noch aktiv. Direkt nachdem wir von der Sicherheitslücke erfuhren, hatten wir die Betreiber der Seite darüber in Kenntnis gesetzt. Zum Zeitpunkt der Veröffentlichung lag uns keine Antwort des Shop-Betreibers oder der CSU zu diesem Zwischenfall vor. Sobald wir dementsprechend eine Stellungnahme erhalten, werden wir diese in unsere Berichterstattung zu dem Thema aufnehmen.

Magento-Shops werden gerne angegriffen

Angriffe dieser Art auf Magento-Shops sind keine Seltenheit. Sicherheitsforscher bezeichnen solchen Schadcode, der direkt in die Bezahlseiten der Shops eingebettet wird, als Magecart-Angriff. De Groot alleine hat in den letzten drei Jahren nach eigenen Angaben mehr als 40.000 unterschiedliche Online-Stores gefunden, die auf diese Weise kompromittiert wurden. Magento ist auf Grund seiner hohen Verbreitung ein beliebtes Ziel für solche und ähnliche Angriffe. Administratoren von Magento-Shops tun aus diesem Grund gut daran, die zahlreichen Sicherheitslücken der Plattform nach deren Bekanntwerden so schnell wie möglich zu patchen. Für Administratoren, die ihre eigenen Shops auf bösartige Skripte testen wollen, hat de Groot einen quelloffenen Malware Scanner auf GitHub im Angebot. (fab)