Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kwaadwillenden stalen creditcardgegevens klanten Newegg

Online retailer Newegg heeft klanten op de hoogte gesteld van een datalek. Een maand lang stond er kwaadaardige code op de checkout-pagina van de webwinkel, waardoor kwaadwillenden creditcardgegevens wegsluisden.

Het is de kwaadwillende of kwaadwillenden gelukt vijftien regels aan Javascript-code te injecteren op de url https://secure.newegg.com/GlobalShopping/CheckoutStep2.aspx, waar klanten komen op het moment dat ze gaan afrekenen. De code sluisde creditcardgegevens door naar een server op Neweggstats.com, vermeldt beveiligingsbedrijf RiskIQ, waar de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma onderzoek deed naar het datalek.

De kwaadaardige code op de pagina van Newegg is van het type Magecart, dat eerder opdook bij Ticketmaster en British Airways. Het is onbekend of dezelfde groep erachter zit, al ligt dat wel voor de hand. De code lijkt sprekend op elkaar en heeft een maand lang op de site gestaan. Om toegang te krijgen tot de pagina, moet de skimmergroep vermoedelijk toegang hebben gehad tot de backend van Newegg. Hoe dat is gebeurd, is onbekend.

Newegg heeft klanten op de hoogte gesteld, meldt Klijnsma. Het bedrijf zegt in de verklaring dat het vrijdag een faq zal publiceren. Op dit moment weet het bedrijf nog niet welke klanten zijn getroffen. Ook is het onbekend of er slachtoffers zijn in de Benelux. Dat is mogelijk, want klanten uit Nederland en BelgiŽ komen ook bij het afrekenen terecht op de genoemde url.

De kwaadaardige code op de site van Newegg

Door Arnoud Wokke

Redacteur mobile

19-09-2018 • 19:26

27 Linkedin Google+

Reacties (27)

Wijzig sortering
Ah Worldstream; Ook wel beter bekend als "Bulletproof hosting" aka "Offshore hosting".
Deze partij was in het verleden zeer bekend als een hoster voor alles wat gezien kon worden als illegaal en beroepte zich ten alle tijden op het feit dat ze "Niet wisten wat hun klanten hosten".

Blijkbaar is er weinig veranderd in 10 jaar.....
Ik gebruik enkel PayPal om deze reden, die is wel gelinkt aan een prepaid kredietkaart van mijn bank maar die is maar beperkt te gebruiken met hetgeen ik er op zet.
Weet niet of ze ook prepaid kredietkaarten in Nederland hebben.
Enkel het bedrag dat ik op mijn prepaid kredietkaart zet kan gebruikt worden en niet meer.
Enkel de websites die geen PayPal gebruiken en enkel kredietkaarten eisen krijgen het nr van mijn kredietkaart. Ik stort er eerst het bedrag erop en dan doe ik onmiddellijk de betaling.
Bij een creditcard ben je automatisch verzekerd tegen fraude. Daarnaast kennen de meeste creditcards nog een extra authenticatie middels wachtwoord bij online betalingen die op een andere site geauthenticeerd wordt dan waar je de betaling zelf doet.

Ik ben eerlijk gezegd eerder bang dat ik geen geld terug krijg van mijn bank dan van de creditcardmaatschappij in het geval van diefstal/misbruik.
Die extra authenticatie is iets Europees, en is iets verschrikkelijk. Ik heb absoluut geen goesting als ik iets wil kopen om te gaan zoeken naar een e-reader omdat KBC perse wilt dat ik mijn VISA aankoop extra bevestig.
Een e-reader bij een creditcard? Nooit gezien. Bij VISA is het gewoon een wachtwoord...
Bij de Rabobank kennen ze dit ook, zogehere 3D secure. De kaart is gewoon een Mastercard.
Ik zit momenteel in het buitenland en wordt helemaal gek van die random Reader. Alles gaat hier met creditcard maar alles moet door de Rabobank gevalideerd worden. Wat een bananenbank zeg.

Deze creditcard gaat er na de vakantie volledig uit!
Gooien ze er extra veiligheid bovenop, is het nog niet goed!
Als veiligheid ongemak of onbruikbaarheid betekend dan doe je zeker iets verkeerd. Zoals @martin! hieronder al aangeeft is het belachelijk. Gaat je reader kapot dan kun je het schudden in het buitenland.
klopt helemaal, op vakantie neem ik altijd twee(!) randomreaders mee. hoe slecht! op naar de cryptocurrency! :)
Bij wat voor winkels reken je dan wel niet af dat je terplekke je random reader nodig hebt? Of zit je op vakantie alsnog alles via internet te bestellen? 8)7
Buiten Europa gaat alles met creditcard en internet. In China betaald iedereen met wechat. In IndonesiŽ gaat alles via apps (bv gojek).

Blijkbaar ben je zelf niet helemaal op de hoogte 8)7
Nederland loopt enorm achter met diensten via internet. We hebben niet eens Uber terwijl je in de rest van de wereld letterlijk alles binnen apps kan doen.
Oh, ik gebruik m’n cc overall hope, ook buiten Europa, maar heb nog niet zo vaak meegemaakt dat ik reut via een app moet gaan afrekenen (want ja, dan loop je idd wel tegen de Rabo scanner aan). Ben er meer aan gewend dat je overal je ov chipkaart kan gebruiken om te betalen (octopus/oyster en vergelijkbare systemen). Niet moeilijk doen met CC of cash :)
Yes, bij KBC en een andere bank word je via een payment provider doorgestuurd naar jouw bank, waarmee je de betaling moet bevestigen via een code op je e-reader. Gebaseerd op jouw pin en het te betalen bedrag.
of de qr code. Of zo is het toch bij belfius. En de gsm heeft iedereen tegenwoordig wel bij de hand :-). Dus zo verschrikkelijk is het nu ook weer niet.
Je kan altijd bedrag betwisten, verkoper moet dan aantonen dat het ook naar jou verstuurd is. Werkt vrij goed bij credit card. Om die reden betaal je als winkel ook een 1 tot 3% commisie.
En daarom maar weer... vul nooit en ook NOOIT je kaartgegevens in op de betreffende website waar je besteld. Al sinds jaar en dag heb ik nooit vertrouwen gehad in websites die de kaartgegevens vragen, ik kies altijd voor betaling via een Payment Service Provider :)
In diverse landen (buiten Nl) wordt ofwel je CC ook gekoppeld aan je E-reader of, zoals bijv in IE gebruiken ze Visa of Mastercard als je debit kaart. Geen 'pin pas' of ander 'eigen' of nationaal systeem, maar gewoon visa of mc voor alle betalingen. Best handig (btw ook contactloos)
Kwaadwillenden? No shit. :)
Kwaadwillenden? No shit. :)
Ja erger dan goedwillende. 8)7

Zal wel gemind worden, omdat ik het niet via feedback doe, maar wat een waardeloze titel.
'Goedwillende stalen creditcardgegevens klanten Newegg'
Ik ben blij dat het ook ditmaal kwaadwillenden betrof, straks zijn goedwillenden ook al niet meer te vertrouwen.
Ik vraag me af hoe je zoiets detecteert. Zouden ze regelmatig het hele proces op hun live omgeving(of datbase lokaal trekken en dan) doorlopen en controleren of alleen de calls worden gemaakt die ze verwachten?
Ik neem aan dat ze het dan door middel van e2e testen ook zouden moeten kunnen vinden, maar het lokaal trekken van zo'n grote database zal ook niet makkelijk zijn.
Zouden ze hiervoor een 2e Server hebben voor het testen?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True