Тысячи интернет-магазинов подвержены атакам кардхолдеров

Нидерландский специалист по безопасности Виллем де Гроот обнаружил в коде множества интернет-магазина скрипт, передававший данные о платежных картах клиентов на посторонние серверы, расположенные преимущественно в России. Согласно отчету Виллема, данные карт потом продавались в интернете по $30 за штуку. Лишь небольшой процент скомпрометированных магазинов исправил эту брешь в безопасности после того, как о ней узнал

интернет-мошенничество
Фото: Depositphotos

Виллем де Гроот впервые просканировал 255 тысяч онлайн-магазинов в ноябре 2015, и обнаружил вредоносные скрипты на 3501 из них. Повторив сканирование в сентябре 2016, он выяснил, что число атакованных сайтов увеличилось за 10 месяцев на 69%: нашлось 5925 магазинов, на которых были установлены скрипты, пересылавшие данные карт клиентов третьим лицам. Из них около 700 магазинов были заражены уже при первом сканировании и до сих пор не исправили этот пробой в системе безопасности. «Выходит, данные можно воровать месяцами», —делает вывод Виллем де Гроот.

География зараженных сайтов обширна: среди них онлайн-магазины США, Великобритании, Германии, Бразилии, Ирландии, Нидерландов, Испании, России, Украины… Далеко не всё это «мелкие» магазинчики: среди них производитель обуви Converse и популярный обувной магазин Heels.com, дилер Audi в ЮАР, сайт певицы Бьорк и сайт Музея Науки в Вашингтоне.

Украденные данные о платежных картах отправлялись на серверы, большая часть которых расположена в России, и далее продавались примерно по 30 долларов за штуку.

Список скомпрометированных магазинов Виллем де Гроот опубликовал на популярном сервисе для программистов GitHub, откуда он вскоре был удалён без объяснения причин. Де Гроот вывесил список на альтернативном ресурсе, GitLab, откуда его также удалили под давлением владельцев магазина, однако позже, разобравшись в ситуации, вернули, объяснив свою позицию: «Жертвами уязвимости выступают не только владельцы магазинов, но и их клиенты. У владельцев есть ответственность перед клиентами, они должны исправить ошибки».

Реакция владельцев онлайн-магазинов не порадовала исследователя. Несколько из них после публикации списка связались с ним и пригрозили судебными исками. Другие, которым он сам сообщил об уязвимостях, легкомысленно отмахнулись: «Их ответы меня удивили, — пишет Виллем. — Одни сказали «Нас это не волнует, все платежи проходят через сторонний сервис». Другие сказали «Спасибо за информацию, но наш магазин полностью безопасен. Это всего лишь ошибка в JavaScript». И даже «Наш магазин безопасен, поскольку мы используем HTTPS».

Однако некоторые магазины всё же предприняли усилия по устранению проблемы. В первой версии списка, опубликованной 11 октября, было 5925 магазинов. 17 октября Виллем де Гроот сообщил, что 841 магазин исправил недочёт.