Nieuwe casestudy: de kwaadaardige opmerking

Hoe veilig is uw opmerkingensectie? Ontdek hoe een ogenschijnlijk onschuldig 'dankjewel'-commentaar op een productpagina een kwaadaardige kwetsbaarheid verhulde, wat de noodzaak van robuuste beveiligingsmaatregelen onderstreepte. Lees hier de volledige praktijkcase.

Wanneer is een 'dankjewel' geen 'dankjewel'? Wanneer het een stiekem stukje code is dat verborgen is in een 'Bedankt'-afbeelding die iemand in het opmerkingengedeelte van een productpagina heeft geplaatst! Het schuldige geheim dat in dit specifieke stukje code verborgen zit, was bedoeld om hackers de beveiligingscontroles te laten omzeilen en de persoonlijke identificatiegegevens van online shoppers te stelen, wat grote problemen voor hen en het bedrijf had kunnen betekenen.

De betreffende pagina is eigendom van een wereldwijde retailer. Gebruikersgemeenschappen zijn vaak een geweldige bron van onpartijdig advies van mede-enthousiastelingen, en daarom plaatste een eigenaar van een Nikon-camera daar een bericht. Ze waren op zoek naar de ideale 50 mm lens en vroegen om advies. Ze bedankten bij voorbaat iedereen die de moeite zou nemen om te reageren, en lieten zelfs een klein plaatje achter waarop ook 'Bedankt' stond, en met het blote oog zag het er prima uit.

Het commentaar en de afbeelding bleven drie jaar(!) op de site staan, maar toen het bedrijf de oplossing voor het beheer van continue webbedreigingen van Reflectiz, een toonaangevend webbeveiligingsbedrijf, begon te gebruiken, ontdekte het tijdens een routinecontrole iets verontrustends in deze onschuldig ogende afbeelding. scannen. In dit artikel geven we een breed overzicht van wat er is gebeurd, maar als u liever een diepere uitleg wilt, samen met meer details over hoe u uw eigen commentaarpagina's kunt beschermen, kunt u de volledige, diepgaande casestudy hier downloaden.

Gewijzigde afbeeldingen

Een van de beste dingen van internet is het feit dat je gemakkelijk afbeeldingen kunt delen, maar als mens die er elke dag honderden bekijkt, vergeet je gemakkelijk dat ze allemaal uit code bestaan, net als elk ander digitaal item op internet. een webpagina. In dat geval proberen kwaadwillende actoren vaak hun eigen code in zich te verbergen, wat ons bij de praktijk van steganografie brengt. Dit is de term voor het verbergen van het ene stukje informatie in het andere. Het is niet hetzelfde als cryptografie, waarbij berichten in wartaal worden omgezet, zodat ze niet kunnen worden begrepen. In plaats daarvan verbergt steganografie gegevens in het volle zicht, in dit geval binnen een afbeelding.

Anatomie van een pixel

U weet wellicht dat computermonitors afbeeldingen weergeven met behulp van een mozaïek van punten, pixels genoemd, en dat elke pixel een mengsel van rood, groen en blauw licht kan uitstralen. De sterkte van elke kleur in een van deze RGB-pixels wordt bepaald door een waarde tussen 0 en 255, dus 255,0,0 geeft ons rood, 0,255,0 geeft ons groen, enzovoort.

255,0,0 is het sterkste rood dat het scherm kan weergeven, en hoewel 254,0,0 iets minder sterk is, zou het er voor het menselijk oog precies hetzelfde uitzien. Door veel van deze kleine wijzigingen aan te brengen in de waarden van geselecteerde pixels, kunnen kwaadwillende actoren code in het zicht verbergen. Door er genoeg van te veranderen, kunnen ze een reeks waarden creëren die een computer als code kan lezen, en in het geval van de waarde die in de commentarensectie van de fotografiewinkel is geplaatst, bevatte de gewijzigde afbeelding verborgen instructies en het adres van een gecompromitteerd domein. Het was een verrassing om te ontdekken dat JavaScript op de pagina de verborgen informatie gebruikte om ermee te communiceren.

Gevolgen

Het grote probleem voor iedereen die een e-commercewebsite exploiteert, is dat kwaadwillende actoren altijd op zoek zijn naar mogelijkheden om PII van klanten en betaalkaartgegevens te stelen, en het wijzigen van afbeeldingsbestanden is slechts een van de vele mogelijke methoden die ze gebruiken. Wetgevers in een groeiend aantal gebieden, evenals regelgevers op gebieden als de betaalkaartindustrie, hebben hierop gereageerd door gedetailleerde regelgevingskaders te implementeren die strenge veiligheidseisen aan aanbieders opleggen, samen met hoge boetes als ze falen.

De AVG vereist dat iedereen die aan klanten in de Europese Unie verkoopt, het grote en gedetailleerde kader volgt. Telkens wanneer een e-commerceretailer bezwijkt voor steganografie of een andere vorm van aanval die klantinformatie in gevaar brengt, kan dit boetes van miljoenen dollars opleveren, class action-rechtszaken uitlokken en slechte publiciteit creëren die tot reputatieschade leidt. Daarom is het zo cruciaal om te begrijpen hoe u uw website tegen dergelijke aanvallen kunt beschermen, zoals in de volledige casestudy wordt uitgelegd.

Continue bescherming

De casestudy gaat dieper in op hoe deze dreiging aan het licht werd gebracht en onder controle werd gebracht, maar de korte verklaring is dat de monitoringtechnologie van het platform verdachte activiteit in een webcomponent heeft gedetecteerd en vervolgens naar bepaalde details heeft verwezen met de uitgebreide bedreigingsdatabase.

Het systeem identificeert en blokkeert routinematig webcomponenten van derden die gebruikersactiviteiten volgen zonder hun toestemming. Het detecteert welke componenten van derden zonder hun toestemming de geolocatie-, camera- en microfoonrechten van gebruikers in handen krijgen en brengt alle webcomponenten in kaart die toegang hebben tot gevoelige informatie.

In dit geval waarschuwden menselijke beveiligingsspecialisten van Reflectiz het bedrijf voor de kwetsbaarheid, gaven het beveiligingspersoneel duidelijke maatregelen om de bedreiging te beperken en onderzochten de verdachte code om te begrijpen hoe de aanvallers erin slaagden deze daar te plaatsen. U kunt hier in de volledige casestudy over hun bevindingen lezen en ontdekken welke beveiligingsstappen prioriteit moeten krijgen om te voorkomen dat hetzelfde gebeurt met uw eigen reactiepagina's.

Thijs Van der Does