Hollandsk sikkerhedsforsker om nyt Bahne-hack: Sandsynligt at samme sårbarhed er genbrugt

Kriminelle har igen haft held til at liste ondsindet skimmer-software ind på Bahnes website.

Isenkræmmer-virksomheden Bahne har igen haft ubudne gæster virksomhedens webshop.

Det vil sige, it-kriminelle hackere - igen - har lagt såkaldt skimmer-kode ind i systemet, som har til formål at opsnappe de betalingskort-oplysninger, kunderne indtaster, når de vil købe noget på webshoppen.

Den hollandske sikkerhedsforsker Willem de Groot har specialiseret sig i at detektere denne type angreb mod e-commerce-platformen Magento, som Bahne og mange andre webshops kører på.

Willem de Groot scanner automatisk domæner for den slags angreb og ifølge ham er domænet bahnefirmagaver.dk blevet inficeret 30. december, mens bahne.dk - der huser online-butikken - blev inficeret 31. december.

Bahne opdagede angrebet om aftenen den 2. januar, og virksomheden pillede sitet ned kort efter.

Bahnes administrerende direktør, Benjamin Røpke, fortæller, at angrebet blev opdaget via et overvågningssystem, som holder øje med online-butikken. Ifølge Benjamin Røpke intensiteten af overvågningen blevet skruet op siden november, hvor Bahne oplevede et lignende angreb. Alligevel gik der tre dage før Bahne opdagede den aktuelle inficeringen.

Webshop-skimming Når kortoplysninger bliver opsnappet på webshops, kaldes det også skimming. Det foregår ved, at it-kriminelle finder en vej ind i systemerne og indlejrer ondsindet kode på webshoppen med henblik på at høste kortoplysninger. Det er en relativt velkendt teknik, der har eksisteret i flere år. I den analoge verden kan det sammenlignes med, når fysiske hæveautomater udstyres med såkaldte skimmere, der aflæser informationer fra betalingskort.

»Hvorfor det ikke er blevet opdaget inden for de tre dage? Det ved jeg simpelthen ikke,« siger Benjamin Røpke.

Tre dage er under alle omstændigheder bedre end november-angrebet, hvor der gik flere uger, før virksomheden opdagede, at sitet var blevet hacket. I løbet af den tid kunne den ondsindede kode i princippet skimme folks betalingskortoplysninger.

Dengang blev 3.337 kunder bedt om at spærre deres kort for en sikkerheds skyld. Nu er det 473 kunder, som kan have fået stjålet deres betalingskort-oplysninger i perioden, hvor sitet har været kompromitteret.

»Vi er super kede af det, og det er pænt irriterende,« siger han og tilføjer:

»Jeg er med på, at der sker mange af de her ting rundt om i verden, og jeg er med på, at det kan ske én gang. Det bør ikke ske, men det kan åbenbart ske. Men når det sker anden gang, så bliver vi nødt til at tage alle forholdsregler, der overhovedet kan tages.«

Eksperter i gryder og kjoler

Benjamin Røpke var af den opfattelse, at virksomheden havde taget de nødvendige forholdsregler efter november-hacket. Her fulgte Bahne råd og vejledning fra it-folk.

»Vi driver jo en detailvirksomhed og en online-butik og er eksperter i gryder og kjoler. Og så må vi jo stole på, at når vi har eksterne eksperter på, så kan de råde og vejlede os,« siger han.

Da bahne.dk blev angrebet i november, åbnede hjemmesiden igen efter cirka tre timers nedetid. Denne gang er der to eksterne sikkerhedsvirksomheder involveret i arbejdet med at sikre sitet og forhindre, at noget lignende gentager sig. Og sitet forbliver lukket, indtil de eksterne samarbejdspartnere giver grønt lys.

»Denne gang holder vi sitet lukket, fordi vi ikke bare kan stole på, det, der blev gjort sidst, var nok,« siger Benjamin Køpke.

Forsøger man i skrivende stund at komme ind på bahne.dk, bliver man mødt med beskeden om, at Bahne.dk er ved at gennemgå en omfattende sikkerhedsopdatering.

Indtil videre har direktøren ikke noget bud på, hvordan hackerne er kommet ind i bahne.dk's systemer. Han henviser til, at han endnu ikke har hørt noget tilbage om det fra de eksterne sikkerhedseksperter.

Nul-dages angreb mod plugins

Den hollandske sikkerhedsforsker med speciale i skimming-angreb mod Magento-platformen, Willem de Groot, har både registreret det aktuelle angreb mod Bahne og angrebet i november. Han har nogle teorier om, hvordan bahne.dk kan være blevet kompromitteret igen.

I en mail til Version2 forklarer Willem de Groot, at der er tale om samme aktør i forhold til begge angreb. Altså samme person eller personer, præcist hvem der er tale om, er uvist. Ifølge de Groot er aktøren kendt for at finde og misbruge 0-dages sårbarheder. Det vil sige huller i software, som der ikke er patches til.

Hullerne, som den pågældende aktør er specialist i at udnytte, er i de udvidelser, som Magento-kunder anvender.

Som de Groot tidligere har forklaret til Version2, kan kodekvaliteten i disse udvidelser være svingende. Derfor kan det være lettere for it-kriminelle at komme ind via udvidelserne fremfor hovedplatformen. Willem de Groot har også blogget om emnet her.

»Det er meget sandsynligt, at gerningspersonen (eller personerne, red.) har genbrugt den samme sårbarhed, eller at de har fundet flere, og Bahne kun delvist har fikset det. Bahne bliver nødt til at foretage en fuldstændig kodegennemgang (eng. audit) for at sikre kundernes privatliv,« lyder rådet fra Willem de Groot i en mail til Version2.

Han tilføjer, at Bahne ikke er alene, da 20 pct. af butikkerne, som bliver udsat for et skimmer-angreb, også bliver gen-inficerede. Det viser data fra hans scanner.

Bahne overvejer nu tilsyneladende at tage kontakt til de Groot. I hvert fald har den danske virksomhed kontaktet Version2 for at verificere navnet på den hollandske sikkerhedsforsker.