Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Equifax-site hielp malware te verspreiden' - update

De Equifax-site lijkt enkele uren geholpen te hebben om malware te serveren aan zijn gebruikers. Een 'onafhankelijke beveiligingsonderzoeker' kreeg een pop-up met een redirect naar een valse Flash-updatemelding.

Ars Technica beschrijft hoe Randy Abrams woensdag de Equifax-website bezocht om naar eigen zeggen  mogelijk onjuiste informatie over zijn kredietgegevens te bekijken. Tot drie keer toe zou hij daarbij naar de externe site centerbluray.info zijn gedirigeerd, waar hij een melding met een Adobe Flash-update voor zich kreeg. In werkelijkheid zorgde een klik op de update voor de installatie van een bestand met de naam MediaDownloaderIron.exe, dat de malware Adware.Eorezo bevatte. Deze zorgt voor ongevraagde advertenties in Internet Explorer.

De crapware zou momenteel door slechts drie antivirusbedrijven herkend worden: Panda, Symantec en Webroot. Malwarebytes herkent de centerbluray-site als een malware verspreidende site. Mocht er inderdaad malware via de Equifax-site verspreid zijn, dan zou dat een nieuwe blamage voor de kredietverstrekker zijn. Aanvallers wisten onlangs binnen te dringen in de servers van het bedrijf en gevoelige gegevens van meer dan 140 miljoen Amerikanen en meer dan 15 miljoen Britten te ontvreemden.

Het is niet bekend hoe het kan dat de site voor de redirects zorgde, maar de mogelijkheid bestaat ook dat het om een lokaal probleem bij Abrams gaat. De 'onafhankelijke beveiligingsonderzoeker' geeft weinig details over zijn ontdekking. Uit de bijbehorende video en screenshots valt alleen op te maken dat hij Internet Explorer gebruikte.

Update, vrijdag 09.50: Volgens Malwarebytes vond de malvertising plaats via een script van een derde partij op de site van Equifax, namelijk het bedrijf Fireclick, dat gespecialiseerd is in web-analytics. Dat script laadde een url vanaf een Akamaicontent delivery network, die op zijn beurt content via het domein sitestats.info van ostats.net haalde. Via dit laatste domein zouden de redirects naar malware en adware plaatsvinden.

Door

Nieuwscoördinator

24 Linkedin Google+

Submitter: the_shadow

Reacties (24)

Wijzig sortering
Mooi voorbeeldje van wat er eigenlijk mis is met de huidige mindset bij het maken van websites. We maken ons steeds meer druk over zaken als HTTPS en fatsoenlijk omgaan met wachtwoorden, maar zodra de marketingafdeling statistieken wil hebben dan vertrouwen we blind de meuk die we daarvoor moeten neerzetten.

Bij mijn vorige werkgever zorgde de geinjecteerde code van een van de providers van tracking keer op keer voor problemen met onze layout. Desondanks bleef het management maar stellen dat de developers dan maar een workaround moesten maken voor iets wat ze niet konden voorspellen, want wat nou als de marketingafdeling het zonder hun statistiekjes zou moeten doen die eigenlijk niet eens statistisch significant zijn.

Ik snap ook wel dat het in sommige branches verdomd handig kan zijn om je klanten te leren kennen, maar blind vertrouwen op een derde partij lijkt me nooit de juiste oplossing, zoals hier toch maar weer eens bewezen wordt. Toch doen we dat wel zodra er potentieel een effect op onze bottom-line is als we het niet doen.

[Reactie gewijzigd door Cronax op 13 oktober 2017 13:47]

And again: Equifax, the gift that keeps on giving.
Alhoewel, Equifax heeft bij mijn weten geen externe reclame op haar site, dus ...

"Het is niet bekend hoe het kan dat de site voor de redirects zorgde, maar de mogelijkheid bestaat ook dat het om een lokaal probleem bij Abrams gaat."

EDIT: laatste gegevens lijken te suggereen dat een onderaannemer gehacked was:

"So this package was not coming from Equifax, but was being injected by a compromised analytics provider. "

Fijn hè die telemetry 8-)

[Reactie gewijzigd door Armin op 12 oktober 2017 19:38]

"So this package was not coming from Equifax, but was being injected by a compromised analytics provider. "
Fijn hè die telemetry 8-)
Yup. Alweer een reden om privacy-gerichte tools zoals ad-blockers te draaien en op scherp te houden.
but was being injected by a compromised analytics provider. "

[...]

Yup. Alweer een reden om ... ad-blockers te draaien ...
Analytics is geen advertentie, dus in dit geval zouden jouw ad-blockers je niet hebben beschermd.
uBlock Origin is geen ad blocker(de meest populaire blocker) maar een "wide-spectrum blocker". Die heeft standaard privacy-lists aanstaan en blocked content zoals Facebook like knoppen en Analytics servers.

https://github.com/gorhill/uBlock/wiki/Blocking-mode
uBlock Origin is not an "ad blocker", it is a wide-spectrum blocker, which happens to be able to function as a mere "ad blocker". But it can also be used in a manner similar to NoScript (to block scripts) and/or RequestPolicy (to block all 3rd-party servers by default), using a click-and-point user interface.

[Reactie gewijzigd door NotCYF op 12 oktober 2017 21:21]

[...]
Analytics is geen advertentie, dus in dit geval zouden jouw ad-blockers je niet hebben beschermd.
Ad-blockers blokkeren meer dan alleen advertenties. Je kunt je makkelijk inschrijven op een blocklist die ook schiftige analytics providers blokkeert; of je voegt zelf met de hand filters toe om bepaalde te blokkeren.

Ik browse zelf al een tijdje met het domain van google tag manager geblokkeerd. Werkt super om van een heleboel van die traag-als-stroop troep af te komen die sales-medewerkers zonder er verder naar te kijken op de sites van hun werkgevers kwakken, kan ik je vertellen.

[Reactie gewijzigd door R4gnax op 12 oktober 2017 21:16]

Ghostery doet dit wel heel prettig, en is beschikbaar voor meerdere browsers.
Is dat linksboven in zijn scherm een toolbar? :/
Nee, dat is als het goed is het logo van Lastpass, dus ik gok een extensie oid. Al weet ik niet of IE extensies of plug-in's ondersteund.
Eh, volgens mij heeft Edge gewoon ondersteuning voor plugins.

Je kan ook uBlock Origin bijv. installeren via de Windows Store.
volgens mij heeft Edge gewoon ondersteuning voor plugins.

Klopt, maar dit ging over IE. O-)
Nee, LastPass, een wachtwoordmanager
Ondertussen hebben ze de site maar helemaal offline gehaald. :D
Reuters bron
Als je denkt dat het stelen van miljoenen gebruikers gegevens nog niet erg genoeg was |:(
Wellicht zijn hackers nu actief opzoek naar gaten bij alle onderaannemers / service providers / SaaS diensten etc. waar Equifax gebruik van maakt. De kans is groot dat die niet allemaal hun zaken op orde hebben.

Scan zelf maar eens alle bedrijfjes die op nu.nl scripts mogen injecteren of 'pixels' mogen plaatsen...
Deel je uitkomst graag eerst met die partijen zelf, zodat ze het lek kunnen dichten.
Omdat IE vooral sinds IE9, telkens voorop liep de met de veiligheid.

Bij IE9 heeft het ~10 maanden geduurd na release voor de eerste exploit de sandbox uitgebroken was. Die exploit kon simpelweg tegengehouden worden door IE in protected mode te draaien. IE9 in protected mode is -dacht ik- een jaar of 2 ongekraakt gebleven.

IE11 is na release ook een maand of 8 ongekraakt gebleven.

Chrome doet het vandaag de dag volgens mij wat beter, maar dat was echt gatenkaas en heeft is bij een aantal van die hackcontests -destijds- erg vaak als eerste onderuit gegaan.

Firefox is security wise altijd vrij hopeloos geweest en daarbij zijn addons vrij noodzakelijk.

IE is vele jaren lang veruit de veiligste browser geweest, en heeft bij de echt security bewuste mensen zo een reputatie weten op te bouwen. Zelfs nu edge uit is en ik vertrouw iemands PC niet, start > internet explorer > inprivate window en gaan.

[Reactie gewijzigd door batjes op 12 oktober 2017 23:28]

IE en Edge mogen een veilige reputatie hebben, maar ik raak ze niet aan. Deze zijn gewoon veels te traag met het openen en weergeven van websites. (Ja, zelfs op schone installaties. Ik heb dat in het verleden speciaal getest.)

Het duurt per website 1 a 2 seconden langer voordat ik een website in beeld heb en er iets mee kan gaan doen. Dat is voor mij gewoon te lang en ik erger mij er aan. En wanneer ik mij aan de browser erger doet deze zijn werk niet goed genoeg. Ik loop liever wat meer risico en dat ik gewoon kan doorpakken zonder uit mijn flow te worden gegooid. En dan nog ben ik de laatste 5+ jaar niet door iets slechts over de kop gegaan...

Chrome is voor mij veilig genoeg. Privacy-gewijs heeft het misschien een nadeeltje of twee (en daar is Chromium voor als het er echt toe doet) maar die automatische updater doet zijn werk zo vaak dat ik me er aan erger dat ik soms mijn schermen weer eens moet sluiten. :-)
Edge laad bij mij gewoon net zo snel als Firefox, deze pagina op beide even geopent, ik zie niet direct een merkbaar verschil. Met IE hier ook nooit last van gehad.

Momenteel gebruik ik zelf Edge amper omdat deze blijft crashen zodra ik een nieuwe tab open, anders zou ik het wat meer gebruiken. Want het renderen van teksten is IE/Edge ook al sinds jaar en dag heer en meester in. Ik begrijp nog steeds niet waarom Firefox en Chrome hier nog zo'n moeite mee heben, alhoewel dat van Chrome vandaag de dag wat beter is als een paar jaar geleden, toen het nog net zo beroerd was als Firefox. Misschien dat Chrome er nu wat minder uit ziet omdat ik daar niet mee ben ingelogd op Tweakers dus het default lelijke design te zien krijg.

Verder, to each their own. Ik schommel ook tussen de browsers, omdat van tijd tot tijd de ene beter is als de ander, wel voornamelijk Firefox en IE/Edge. Maar als het echt op veiligheid aan komt, staat IE/Edge toch echt bovenaan, Chrome staat er vandaag de dag niet zo ver meer achter en Firefox zal hopeloos blijven tot hun nieuwe engine klaar staat.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*