Beveiligingsbedrijf Sucuri ontdekte dat gestolen creditcard-informatie was opgeslagen in productafbeeldingen van de webshop zelf. De gestolen data was toegevoegd aan het eind van de afbeeldingsbestanden waardoor de afbeelding gewoon geopend en weergegeven kon worden in de browser.

Ben Martin van Sucuri meldt in een blogpost dat de aanvallers niet eens meer toegang [tot de backend] van de website nodig hadden om de informatie uit te lezen. Het downloaden van de afbeelding is voldoende.

Magento

Het gaat hierbij om webshops die zijn gebouwd met het Magento Content management systeem. Een Nederlandse beveiligingsonderzoeker, Willem de Groot, schreef vorige week nog over bijna 6000 webshops die besmet waren met malafide code die creditcardgegevens stal tijdens betalingen. Uit de blog werd onder andere pijnlijk duidelijk dat weel webshopbeheerders geen idee hebben dat zij zijn besmet en dat vaak wordt gedacht dat het gebruik van HTTPS voldoende is.

De Groot meldt in een update dat inmiddels 841 webshops zijn gefixed.