Webwinkel SiComputers waarschuwt voor diefstal creditcardgegevens

De site van webwinkel SiComputers is geïnjecteerd geweest met kwaadaardige JavaScript-code, waardoor criminelen in staat zijn geweest creditcardgegevens van klanten te ontvreemden. Dat meldt de winkel in een e-mail aan klanten.

Volgens SiComputers is er 'een mogelijkheid' dat er creditcardgegevens zijn gestolen. "Deze gegevens zijn op dit moment niet meer in ons systeem aanwezig. Het beveiligingsprobleem is inmiddels tevens verholpen", aldus SiComputers. De winkel adviseert klanten afschriften na te lopen en bij verdachte omstandigheden of misbruik contact op te nemen met de verstrekker van de kaart. Verdere details geeft het bedrijf niet over het voorval.

Op Gathering of Tweakers meldt gebruiker Exhar dat er bij hem eind augustus misbruik is gemaakt na een aankoop op 8 augustus. De melding komt een dag na een vergelijkbaar bericht over Newegg. Bij de pagina om af te rekenen van die webwinkel was vijftien regels aan Javascript-code geïnjecteerd om creditcardgegevens weg te sluizen.

Reacties (132)

132

129

Wijzig sortering

Exhar 21 september 2018 05:21

Ter info: in mijn geval ben ik inderdaad ook slachtoffer van fraude en heb ik vanmiddag Sicomputers gesproken, naar aanleiding van het bericht op GoT. Ik heb nog geen mail van Sicomputers gehad over een lek namelijk…

De persoon aan de telefoon vond het heel vervelend, maar volgens mij vooral dat ik belde: ik moest maar even mailen, want hij kon er niets mee. Aangifte was er nog niet gedaan en de persoon die hier wat over kan zeggen, is er maandag pas weer.... Tijdsvak waarin men het lek had, was van begin september tot gisteren: ik heb Sicomputers al uitgelegd dat dat in ieder geval al niet klopt. Zo te lezen gaat dit al terug tot Juli ergens.

In mijn geval heb ik van alle frauduleuze bestellingen zoveel info weten te achterhalen dat het voor de politie een koud kunstje is om NAW gegevens (verifieerbaar etc.) te achterhalen. Alle bestellingen zijn geplaatst in Nederland, afgeleverd in Nederland en zo zijn er nog wat domme foutjes gemaakt (die ik even voor mezelf houd

)

Ik weet zo uit m'n hoofd het bestelproces niet meer, maar Sicomputers gaf vanmiddag aan dat ze een tijdlang zelf de creditcard gegevens hebben opgeslagen; voor mij voldoende reden om de politie te bellen om de aangifte verder aan te vullen en de ING op de hoogte te stellen waar het lek zit (want ook ik was zoekende naar hoe mijn gegevens buit gemaakt zijn). PCI-DSS was Sicomputers onbekend, dus ik ben nog kijkende of ik ze op dat vlak ergens nog op kan pakken: het is onvoorstelbaar dat je als bedrijf CC gegevens durft op te slaan zonder de juiste maatregelen (en PCI-DSS is nogal een draak om goed compliant te zijn).

Omdat ik me verveelde, heb ik ook de Autoriteit Persoonsgegevens getipt - want hoewel Sicomputers zegt melding gemaakt te hebben van een datalek, kon de beste meneer aan de telefoon geen referentienummer geven (die had ik namelijk ook graag bij mijn aangifte gevoegd).

Anyway! Ik heb een paar mensen die hier gezegd hebben benadeeld te zijn een berichtje gestuurd - want ik zou de aangiftes graag naar elkaar laten verwijzen: als ik je nog geen berichtje heb gestuurd, voel je vrij mij even te berichten. Zoals gezegd: met mijn creditcard zijn een aantal domme fouten gemaakt waarmee de pakkans richting de 99% gaat...

Dat gezegd hebbende kan ik iedereen die slachtoffer is ook aanraden even melding te maken bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI). Niet alleen goed voor de statistieken, maar ook zorgen zij ervoor dat informatie makkelijker gedeeld wordt tussen instanties.

_{Overigens, blijkbaar heb ik zelf ook niet goed opgelet bij het bestellen - want anders had ik zelf ook kunnen zien dat het eea. niet klopte. Blijkbaar vertrouwde ik teveel op bedrijven dat ik zelf niet meer kritisch genoeg was. Les geleerd voor de volgende keer.}

McBacon @Exhar • 21 september 2018 16:52

Dat zij aangeven dat het vanaf september pas speelt klopt inderdaad niet. Op 5 mei een bestelling gedaan bij ze en betaald met credit card, maandje later zie ik een aantal transacties naar bedrijven in Estland en Polen. SiComputers is de enige betaling die ik direct met CC heb gedaan (normaal altijd via PayPal) dus ik had al een vermoeden, maar had geen tijd om uitgebreid hun site door te lichten.

Creditcard laten blokkeren, terugvordering gedaan bij de Rabobank en nieuwe CC aangevraagd.

Had idd, net als jij, ook een beetje teveel "good faith" en heb de bestelling toch uitgevoerd. Wat mij betreft mag je mij ook meenemen in de aangifte, ging wel om een aardig bedrag namelijk. >_>

DrPoncho @Exhar • 21 september 2018 07:52

99% pakkans van een geldezel?

Exhar @DrPoncho • 21 september 2018 08:29

Gezien de bestellingen, heeft deze geldezel minimaal 1x meegeprofiteerd...

Crim @Exhar • 22 september 2018 18:59

In mijn geval heb ik van alle frauduleuze bestellingen zoveel info weten te achterhalen dat het voor de politie een koud kunstje is om NAW gegevens (verifieerbaar etc.) te achterhalen. Alle bestellingen zijn geplaatst in Nederland, afgeleverd in Nederland en zo zijn er nog wat domme foutjes gemaakt (die ik even voor mezelf houd )

Dit gaat vrijwel altijd zo, hier worden niet al te slimme figuren voor ingeschakeld. Die halen de pakketten vaak op bij een PostNL punt en vanuit hun eigen adres weer verkopen op marktplaats. De politie heeft hier zo ongelofelijk vaak mee te maken dat er niets mee doen tot er een aangifte wordt gedaan met een waarde van minstens €10.000,00 met heel erg veel aanvullende informatie zoals IP adressen, namen en woonadressen. Er zijn criminele bendes actief die zich permanent bezig houden met fraude met gestolen NAW en creditcard gegevens die echt niet zomaar gepakt worden door de politie hier in Nederland.

PCI-DSS was Sicomputers onbekend, dus ik ben nog kijkende of ik ze op dat vlak ergens nog op kan pakken: het is onvoorstelbaar dat je als bedrijf CC gegevens durft op te slaan zonder de juiste maatregelen (en PCI-DSS is nogal een draak om goed compliant te zijn).

Denk je niet dat ze al genoeg gepakt zijn met deze hele situatie? Of zijn ze pas goed genoeg gepakt als iedereen daar z'n baan kwijt is en de toko niet meer bestaat? Ik neem aan dat jij uiteindelijk geen euro schade hebt en SiComputers straks voor duizenden euro's chargebacks om de oren krijgt vanwege de frauduleuze bestellingen. Ik zeg geeft die mensen een kans om te laten zien dat ze wel weten hoe het moet.

Exhar @Crim • 22 september 2018 19:12

[...]
Dit gaat vrijwel altijd zo, hier worden niet al te slimme figuren voor ingeschakeld. Die halen de pakketten vaak op bij een PostNL punt en vanuit hun eigen adres weer verkopen op marktplaats. De politie heeft hier zo ongelofelijk vaak mee te maken dat er niets mee doen tot er een aangifte wordt gedaan met een waarde van minstens €10.000,00 met heel erg veel aanvullende informatie zoals IP adressen, namen en woonadressen. Er zijn criminele bendes actief die zich permanent bezig houden met fraude met gestolen NAW en creditcard gegevens die echt niet zomaar gepakt worden door de politie hier in Nederland.

Gelukkig (of helaas) ben ik bekend met het fenomeen - als ik zo reken komt de totaal schade ruim boven de 10K. In mijn aangifte heb ik alle info erbij die de politie zich kan wensen om hier gericht en beter onderzoek naar te doen. Men is er ook mee bezig, weet ik.

[...]

Denk je niet dat ze al genoeg gepakt zijn met deze hele situatie? Of zijn ze pas goed genoeg gepakt als iedereen daar z'n baan kwijt is en de toko niet meer bestaat? Ik neem aan dat jij uiteindelijk geen euro schade hebt en SiComputers straks voor duizenden euro's chargebacks om de oren krijgt vanwege de frauduleuze bestellingen. Ik zeg geeft die mensen een kans om te laten zien dat ze wel weten hoe het moet.

En zo kan je natuurlijk iedere discussie meteen doodslaan. Feit is dat Sicomputers in deze meer dan nalatig is geweest. Sterker nog: nadat ik ze op donderdag heb uitgelegd dat je geen creditcard gegevens mag opslaan, was het op vrijdagochtend nog verplicht om diezelfde creditcard gegevens aan ze door te geven.

Blijkbaar is Sicomputers ook ruim op tijd en meermaals gewaarschuwd dat het probleem hoogstwaarschijnlijk bij hen zat - maar is hier ogenschijnlijk niet op geacteerd. Ook hun eigen payment provider hebben ze niet ingelicht, zo begreep ik van de desbetreffende payment provider (en dat schijnt wel nodig te zijn, gaf men aan). Tegelijkertijd hebben ze zelf ook nog geen aangifte gedaan, maar slechts het hoogst noodzakelijke: de melding bij de Autoriteit Persoonsgegevens schijnt wel gedaan te zijn (maar om daar zeker van te zijn, heb ik de AP ook nog getipt...)

Dat zegt mij dat de enige trigger financieel is. Ik ben er zeker niet op uit om een bedrijf failliet te laten gaan, laat dat duidelijk zijn. Maar ik ben wel van mening dat een ondernemer zijn verantwoordelijkheid moet nemen. De chargebacks waar jij het over hebt, worden gedaan bij de bedrijven waar besteld is (dus een Bol.com, Thuisbezorgd - et cetera). Het resultaat is dat zij dit geld terug moeten betalen aan de creditcardmaatschappijen: wie denk je dat dit uiteindelijk betaald?

Over de persoonlijke schade: dat moet nog blijken. Feit is dat hier, naast creditcardfraude sprake is van identiteitsdiefstal - een probleem wat nog lang door kan etteren. Dat is ook nog een punt waar Sicomputers een betere oplossing zal moeten regelen dan "hou je creditcardafschrijvingen in de gaten".

Had Sicomputers adequaat geacteerd, was er een stuk minder aan de hand geweest...

Verwijderd @Exhar • 21 september 2018 10:01

Tijdsvak waarin men het lek had, was van begin september tot gisteren: ik heb Sicomputers al uitgelegd dat dat in ieder geval al niet klopt. Zo te lezen gaat dit al terug tot Juli ergens.

Oef ik heb nog in mei een bestelling gedaan zie ik, en was niet blij met de bestelling waardoor ik 2 andere orders ergens anders gedaan heb.

PatrickVk33 @Verwijderd • 21 september 2018 11:57

Eveneens rond de zomer een bestelling gedaan. SATA kabels en een 6-tal ventilatoren. Levering duurde al met al anderhalve maand "omdat het merk niet op voorraad was". Bijzonder ontevreden over dit bedrijf. Gelukkig niet met credit card betaald.

Überhaupt bizar dat dit bedrijf nog bestaat, maar goed...dat is een persoonlijke mening.

[Reactie gewijzigd door PatrickVk33 op 22 juli 2024 15:00]

Opperpanter2 20 september 2018 22:12

Volgens Magereport missen er een paar patches en draait de boel op PHP5.3
https://www.magereport.co...tps://www.sicomputers.nl/

EDIT: PHP/5.3.10-1ubuntu3.26 wijst op Ubuntu Precise Pengolin welke al lang niet meer supported is....

[Reactie gewijzigd door Opperpanter2 op 22 juli 2024 15:00]

Toettoetdaan @Opperpanter2 • 20 september 2018 23:09

PHP5.3 is vooral veel trager, updaten ze door naar PHP7(.2), wat sinds twee dagen officieel ondersteund word, dan hebben ze een bijna gratis 40% prestatie winst.

Maargoed als jij magereports kent, dan weet je vast ook wel hoeveel sites achter lopen en hoe moeilijk dit soort onderhoud op de agenda van de opdrachtgever is te krijgen.

Dat gezegd hebbende, dit echt niet de meest schokkende verouderde Magento website die ik in Nederland ben tegengekomen.

Aganim

@Toettoetdaan • 20 september 2018 23:34

Als ze updaten naar PHP 7.x (of 5.6) is die site meteen dood.

Magento 1.7 gaat tot 5.5 en de 7.2 patches zijn beschikbaar vanaf 1.9.2. Voorlopig is er nog wel wat werk aan de winkel voor ze, gok ik zo.

Cergorach

Beveiliging en antivirus

@Aganim • 21 september 2018 00:37

Voorlopig is er nog wel wat werk aan de winkel voor ze, gok ik zo.

Wellicht is dergelijk werk goedkoper dan een boete uit de categorie #2 voor de AVG overtreding(en):
- Beveiliging al zes jaar niet gepatched/geupdate
- Geen melding naar alle klanten ivm. datalek (zie in deze discussie klanten waarvan cc gegevens zijn gestolen en deze klanten zijn niet gemailed)
- Gezien de overige nalatigheid, mogelijk geen melding bij AP zelf gedaan.

Toettoetdaan @Aganim • 21 september 2018 00:05

1.7 naar 1.9 valt meestal wel mee. (Als je niet in het framework zelf hebt zitten editen...)
Het is natuurlijk wel wat werk, maar zeker niet onoverkomelijk. Als je alle SUPPE patches gaat uitvoeren en je modules gaat controleren op PHP7 issues dan is de update van 1.7 naar 1.9 in het hele plaatje niet het grootste punt.

vlahonda @Toettoetdaan • 20 september 2018 23:24

Werkt magento 1.7 op php7 dan? Naar mijn weten niet namelijk, vandaar dat je velen op 5.6 ziet.

Toettoetdaan @vlahonda • 21 september 2018 00:01

Het is niet zo heel spannend om M1.7 naar M1.9 te krijgen hoor. Het kost wel wat werk want er zijn altijd onderdelen die niet mee werken, maar van M1.7 naar M1.9 is vaak niet veel meer werk als 1.9.0.1 updaten naar 1.9.3.7. (Dus alle security updates voor 1.9)

Dan0sz @Opperpanter2 • 20 september 2018 23:08

Dat is wel ernstig, inderdaad. Als ze nou gewoon een externe payment provider hadden geïmplementeerd (zoals Buckaroo) o.i.d. dan hadden ze (ondanks het wel of niet hebben van deze patches) al een hoop gezeik kunnen besparen.

Dat de credit card betaalmethode lek is in Magento 1.x is al jaren bekend. Sinds patch 7405 meen ik (?) En iedere poging het te fixen blijkt keer op keer (en nu ook weer) tevergeefs.

[Reactie gewijzigd door Dan0sz op 22 juli 2024 15:00]

Exhar @Dan0sz • 21 september 2018 19:25

Ze maken gebruik van Multisafepay... Bij een bestelling vragen vroegen ze letterlijk om alle creditcard gegevens (incl. CVC2), om je daarna door te verwijzen naar Multisafepay.

Dan0sz @Exhar • 21 september 2018 23:51

Dan is die extensie hoogstwaarschijnlijk ook zwaar outdated geweest.

MrCaBLeGuY 20 september 2018 22:35

Ik snap niet dat een wat grotere webshop, laat staan Newegg, geen fatsoenlijke CSP (Content-Security-Policy) heeft die inline js verbied. Die van Newegg houdt op bij

Content-Security-Policy => upgrade-insecure-requests

De complete headers van siscomputers op dit moment

HTTP/1.1 200 OK =>
Date => Thu, 20 Sep 2018 20:26:33 GMT
Server => Apache/2.2.22 (Ubuntu)
X-Powered-By => PHP/5.3.10-1ubuntu3.26
Cache-Control => no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma => no-cache
Expires => Thu, 19 Nov 1981 08:52:00 GMT
Vary => Accept-Encoding
Connection => close
Content-Type => text/html; charset=UTF-8

Lekker up to date, geen xss protectie, geen CSP, geen x frame deny of same origin en een php versie gereleased op 02 February 2012 die al sinds tijden niet meer wordt geüpdate.

En een apache versie voorzien van

https://www.cvedetails.co...e-Http-Server-2.2.22.html

Ik hoop dat ze wel verstand van computers hebben, wat beschamend

nAffie @MrCaBLeGuY • 20 september 2018 23:06

@MrCaBLeGuY @Opperpanter2

Aangezien wij hier op Tweakers zitten, zou het geen mooi idee zijn om dit soort info ook in de pricewatch/shopreviews te tonen? Dus dat je direct kunt zien of een webshop z'n beveiliging wel op orde heeft.

Het lijk mij dat die niet zo moeilijk is om te tonen als je dit al via een paar websites/api's kunt laten pollen....

Aetje @nAffie • 21 september 2018 03:03

Met het risico dat Tweakers een site wordt waar kwaadwillenden gemakkelijke doelen gaan vinden. Ik weet niet of onze adminnetjes dat zo leuk zullen vinden.
Wellicht verstandiger om dit zowel bij de webshop als bij de authoriteit persoonsgegevens te melden. Een onvoldoende beschermde site waar klantgegevens in opgeslagen staan is volgens mij niet echt legaal meer in NL. Gewoon melden dus en de druk via politie/justitie zetten.

kalikatief @Aetje • 21 september 2018 04:40

Stuur een bericht naar webshops, 'over 3 maanden wordt deze informatie publiekelijk beschikbaar op jullie PW pagina, dus los het nu op', en daarna heb je het voordeel van het feit dat Tweakers een erg grote rol speelt in de wereld van de meer techneut-gerichte webshops.

Klinkt goed IMHO.

Ayporos @kalikatief • 21 september 2018 04:55

Ik schuif me hier bij aan.

Bedrijven komen pas in beweging als er inkomsten op het spel staan, en negatieve publiciteit op een grote prijsvergelijker zoals Tweakers welke gegarandeerd zal leiden tot minder inkomsten is hopelijk genoeg om wat webshops wakker te schudden.

latka @Ayporos • 21 september 2018 13:23

Gaat niet gebeuren: dan loopt tweakers inkomsten mis. En dat is de persgroep. Dus helaas.

Frubelaar @Aetje • 21 september 2018 05:54

@MrCaBLeGuY @Opperpanter2
Het lijk mij dat die niet zo moeilijk is om te tonen als je dit al via een paar websites/api's kunt laten pollen....

Wellicht verstandiger om dit zowel bij de webshop als bij de authoriteit persoonsgegevens te melden.

Het feit dat het nodig is geeft mij een nogal negatief beeld van die autoriteit. Beetje pro-actief ipv dutten totdat iemand je wekt mag best wel.
Dat zou zelfs in samenwerking met surfagentjes afdeling cybercrime v/d politie kunnen. Inbraken opsporen valt binnen hun taakomschrijving.

Core2016 @nAffie • 21 september 2018 02:38

Er zijn talloze andere maar gelijke situaties waarom ik denk dat dat geen goed idee is. Nu gaat het over een webshop

HollowGamer @MrCaBLeGuY • 20 september 2018 23:07

Dit klinkt een beetje gek, maar mag je echt meer verwachten? Al deze online shops zijn nu eenmaal dozenschuivers en kunnen over een aantal jaar al niet meer bestaan. Ja, zoiets als dit kan al de doodsteek zijn, maar veelal is het gebaseerd op zoveel mogelijk lage kosten - iets dat wij als kopers verwachten tegenwoordig.

Ik praat het zeker niet goed, upgrades dienen gewoon getest en geïnstalleerd te zijn, maar doorgaans zit er veel meer achter en dat vereist gewoon continue onderhoud, iets dat gewoon veel niet kunnen en willen.

MrCaBLeGuY @HollowGamer • 20 september 2018 23:58

Het bedrijf bestaat sinds 2011 en is een internet onderneming puur sang. Ze hebben immers dan ook geen fysieke winkel.

Edoch zelfs voor een de hobby computer winkel in het dorp zou het ruim 6 jaar niet updaten van je OS en php versie al laakbaar zijn. Voor een e-commerce organisatie waren ze al ver voor de AVG van kracht was gewoon wettelijk plichtig om een minimale vorm van inspanning te leveren om de persoonsgegevens van haar klanten te beschermen.

Hun privacy statement (die je te samen met de algemene voorwaarden pas bij het bestelproces terug kan vinden) vermeld;

"De persoonsgegevens die via deze website worden verzameld zijn beveiligd via de huidige gebruikelijke technieken."

Er is ook geen vorm van tijd aan besteed die hele privacy statement is een copy paste van een andere site https://goo.gl/iMtSwc

Bij het ondernemen hoort ook enigszins verantwoord gedrag. Je stapt toch ook niet in een taxi welke op banden en remblokjes staat die al voor voorbij hun houdbaarheidsdatum zijn?

De security support voor PHP 5.6 (laatste versie uit de 5 branche) houdt op einde van dit jaar.

Ze draain op een VPS bij directvps, dus hebben die server in eigen beheer. De rest is ook zo lek als een mandje, er draait ProFTPD 1.3.4a op en met een simpele exploit als deze heb je de rest van de klant gegevens -als je dat zou willen- ook zo binnen.

Alle klant en betaalgegevens liggen zo goed als op straat voor elke hobby hacker. Daar ook de FTP server header

220 ProFTPD 1.3.4a Server (Debian) [::ffff:178.21.116.89]
200 UTF8 set to on

de versie aangeeft kun je er vanuit gaan dat er al tal van bots op gestuit zijn en die exploit al lang al hebben toegepast. De kans dat je gegevens nog "veilig" zijn lijkt me dan ook nihiel.

Frubelaar @MrCaBLeGuY • 21 september 2018 06:12

Bij het ondernemen hoort ook enigszins verantwoord gedrag. Je stapt toch ook niet in een taxi welke op banden en remblokjes staat die al voor voorbij hun houdbaarheidsdatum zijn?

Dat is een zeer goed voorbeeld. Het haalt heel je verdere betoog onderuit. Niet bedoelt als aanval op jou persoonlijk!

Ja, ik stap in een taxi met versleten remblokjes. Ik ben namelijk ter goedertrouw.
De chauffeur is dat waarschijnlijk ook omdat hij zijn auto bij een gecertificeerde garage laat onderhouden.

Iemand die eigenaar is v/e webwinkel (taxi bedrijf) is niet per definitie iemand met enige kennis van beveiliging of websites maken. De site is waarschijnlijk gemaakt door een website bouwer (garage) die waarschijnlijk claimt de meest moderne technieken te gebruiken.

Als ik persoonlijk een dodelijk ongeluk veroorzaak omdat mijn remmen het begaven, zou ik mij uiteraard erg slecht voelen. Ik wil immers niet bij de dood van iemand betrokken zijn.
Maar i zou mij zeer zeker niet verantwoordelijk voelen omdat ik mijn auto ieder jaar laat keuren bij een erkend garagebedrijf. Niet zomaar een algemeen erkend, nee erkend en gespecialiseerd in het merk auto dat ik rij.
Het is aan de vertrekker v/d certificering om de garagebedrijven te checken.

Ik weet dat dit erg als afschuiven klinkt. En dat is het ook. Ik wil zelfs zover gaan dat het certificeringsbedrijf zich voor de rechter moet verantwoorden.
Hier in Nederland moeten we betalen voor alles wat maar denkbaar is. Op zich niet slecht, het verhoogt vaak de kwaliteit v/d maatschappij. Maar wie geld aanpakt, pakt ook verantwoordelijkheid aan...

chielsen @Frubelaar • 21 september 2018 11:46

Waar haal je vandaan dat ze externe partij de webshop laten bouwen onderhouden en onderhouden (die gecertificeerd is zelfs??).
In principe kan je dit soort aansprakelijkheid nooit doorschuiven. Je kan hooguit de door jou geleden schade weer verhalen op iemand anders in de keten als je daar afspraken over hebt gemaakt.

Als jij in een auto met te weinig profiel op je banden rijdt krijg jij gewoon een boete hoor, niet het garagebedrijf waar je af en toen langs gaat.

[Reactie gewijzigd door chielsen op 22 juli 2024 15:00]

Feni

@chielsen • 21 september 2018 13:31

Inderdaad, aansprakelijkheid schuift in deze niet door. Enkel de partijen onderling kunnen elkaar aansprakelijk stellen op basis van strafrecht, contractbreuk of onrechtmatige daad. Je kan niet zomaar aansprakelijkheid de keten doorschuiven.

Crim @MrCaBLeGuY • 21 september 2018 00:38

De security support voor PHP 5.6 (laatste versie uit de 5 branche) houdt op einde van dit jaar.

Dat is niet voor elke Linux distro het geval, RHEL en CentOS 6 hebben bijvoorbeeld nog PHP 5.3 in hun repository staan welke tot 2020 updates krijgt via Red Hat.

_JGC_ @Crim • 21 september 2018 08:28

Dit betreft Ubuntu 12.04 LTS. Daarvan is in april 2017 de ondersteuning afgelopen. Anderhalf jaar helemaal geen updates... zo lek als een mandje.

Noxious @Crim • 21 september 2018 00:55

In dit geval is het echter Debian, te zien aan de ProFTPD versie

Crim @Noxious • 21 september 2018 00:59

Ja in dit geval is het inderdaad een kwetsbare versie. Het zou natuurlijk ook beter zijn om deze helemaal af te schermen voor de buitenwereld met een firewall. Op een open FTP server krijg je 24/7 brute force attacks.

MrCaBLeGuY @Crim • 21 september 2018 01:45

Op SSH ook, op HTTP ook, je komt er niet echt onderuit maatregelen te nemen met tools als Fail2Ban die na 2 inlogpogingen of oproepen van url's die je niet op hoort te roepen het ip adres gewoon blokkeert.

MrCaBLeGuY @Crim • 21 september 2018 00:51

Klopt, maar geld niet in dit geval Ubuntu / Debian (waar hun server op draait)

dwizzy

@MrCaBLeGuY • 20 september 2018 23:10

Slimme opmerking! Wie schrijft even een scriptje om alle webshops uit de Pricewatch te scannen op dit soort criteria?

Toettoetdaan @MrCaBLeGuY • 20 september 2018 23:58

En dat maakt allemaal niet heel veel uit, zolang je maar je CMS (in dit geval Magento 1) update.

Natuurlijk maakt het wel uit, maar het is een beetje als een goed slot kopen om vervolgens de deur open te laten staan. Als je Magento niet update dan komt en vroeg of laat een geautomatiseerde bot binnen. Het hoeft niet eens een gerichte aanval te zijn, die dingen slapen nooit...

Aganim

20 september 2018 22:05

Hmm, https://www.sicomputers.n...lt/default/css/styles.css. Copyright 2012, dus zeer waarschijnlijk Magento 1.7.

Laatste patches gemist wellicht? Diverse Magentoshops in de afgelopen 1,5 jaar daarmee de mist in zien gaan, zo zonde aangezien het met een fatsoenlijk patchbeleid te voorkomen is. Magento stuurt netjes een nieuwsbrief uit wanneer een nieuwe patch uit is, dus 'wist het niet' is geen excuus.

mschol @Aganim • 20 september 2018 22:08

Hmm, https://www.sicomputers.n...lt/default/css/styles.css. Copyright 2012, dus zeer waarschijnlijk Magento 1.7.

Laatste patches gemist wellicht? Diverse Magentoshops in de afgelopen 1,5 jaar daarmee de mist in zien gaan, zo zonde aangezien het met een fatsoenlijk patchbeleid te voorkomen is. Magento stuurt netjes een nieuwsbrief uit wanneer een nieuwe patch uit is, dus 'wist het niet' is geen excuus.

magento geeft zelfs in de backend waarschuwingen bij inloggen als er nieuwe updates beschikbaar zijn (volgens mij in geel of rood afhankelijk van de soort update, kritiek of niet)

Aganim

@mschol • 20 september 2018 22:25

Dat klopt, maar wat je vaak ziet is dat de mensen die in de backend werken doorgaans enkel administratief bezig zijn en klikken als een trouwe gebruiker die meldingen ongelezen weg.

Dus het blijft zaak om als eindverantwoordelijke ook zelf bij te houden wanneer er patches verschijnen, of zelf regelmatig in te loggen.

[Reactie gewijzigd door Aganim op 22 juli 2024 15:00]

Crazy Harry @Aganim • 20 september 2018 23:18

Erger nog, dat de mensen die in de backend werken niets ermee kunnen, anders dan aangeven bij de leidinggevende die vervolgens een extern bureau in moet schakelen omdat die de magento-installatie beheren.
Hoe snel denk je dat die patch dan geïnstalleerd wordt?

DarkBlaze @Crazy Harry • 20 september 2018 23:27

Wij beheren een tiental magento shops voor onze klanten en deze draaien ondertussen allemaal op 2.2.6 of 1.9.3.10
Sinds magento z'n update meldingen voor elkaar heeft worden onze shops vaak binnen een week allemaal geüpdate ivm het controleren van maatwerk etc kan het soms wat langer duren.

Nu kost het ze dan een paar tientjes in de maand voor hosting ondersteuning etc maar dan zijn dit soort zaken wel geregeld.

[Reactie gewijzigd door DarkBlaze op 22 juli 2024 15:00]

Frubelaar @DarkBlaze • 21 september 2018 06:29

Wij beheren een tiental magento shops voor onze klanten en deze draaien ondertussen allemaal op 2.2.6 of 1.9.3.10

Dus zijn niet alle shops onder jullie beheer up-to-date?
1.9.3.10 vs 2.2.6

frickY @Frubelaar • 21 september 2018 07:27

Een Magento v1 shop update je niet even naar V2.
Dat zijn 2 totaal andere implementaties.

Aganim

@Frubelaar • 21 september 2018 07:30

Magento 1 wordt gewoon nog voorzien van updates, tot juni 2020 (https://magento.com/blog/...gento-1-through-june-2020). Aangezien Magento 2 een volledig andere codebase is, komt updaten neer op herbouwen. Die investering is op dit moment nog niet nodig (al kan voorbereiden geen kwaad), dus welk punt wil je nu precies maken?

DarkBlaze @Frubelaar • 21 september 2018 07:46

Magento 1 vs Magento 2? Jij hebt blijkbaar geen kennis van Magento maar 2 is niet compatible met 1 en 1 krijgt nog steeds alle security updates.

Verwijderd @mschol • 20 september 2018 23:23

Zijn dat geen meldingen die de klant onderhand moet gaan zien na een week zonder ondernomen actie...

sdk1985 @Aganim • 21 september 2018 02:12

Hmm, https://www.sicomputers.n...lt/default/css/styles.css. Copyright 2012, dus zeer waarschijnlijk Magento 1.7.

Laatste patches gemist wellicht? Diverse Magentoshops in de afgelopen 1,5 jaar daarmee de mist in zien gaan, zo zonde aangezien het met een fatsoenlijk patchbeleid te voorkomen is. Magento stuurt netjes een nieuwsbrief uit wanneer een nieuwe patch uit is, dus 'wist het niet' is geen excuus.

Vaak is er op een niet nette manier aan de webshop gesleuteld, daarmee bedoel ik dat bij een update de aanpassingen direct verloren gaan. Dit weerhoudt de eigenaar van updaten. Daarmee verdedig ik dit zeer zeker niet, ik ontmoedig dit persoonlijk actief. Maar bij het MKB is dit schering en inslag.

EelcoB 20 september 2018 22:52

In plaats dat ze alle klanten even aanschrijven dat er gegevens gelekt zijn, lijken ze alleen klanten binnen een bepaald tijdsbestek te hebben gemaild, ik heb rond 18 juli besteld met mn creditcard, en net als Exhar een succesvolle transactie op mn card eind augustus, en kort daarna een mislukte poging aldus ICS, geen kleine bedragen, maar al met al bijna 800€ als ze beiden succesvol waren geweest. Gelukkig wel dezelfde dag is het geld verrekend op de ter plekke geblokkeerde card. Ik heb echter geen enkele mail vanuit SiComputers ontvangen, het is dat ik toevallig zag dat er ineens een flink bedrag open stond op de card, terwijl ik hem niet gebruikt had die maand

[Reactie gewijzigd door EelcoB op 22 juli 2024 15:00]

Atlantis1995 @EelcoB • 20 september 2018 23:23

Volgens de AVG zijn ze verplicht diefstal te melden.

robvanwijk 21 september 2018 00:54

Ik weet niet hoor, maar wordt het anno 2018 niet eindelijk eens tijd om toe te geven dat het hele concept achter creditcards volkomen kapot is? In grote lijnen werkt het hetzelfde als pin; in beide systemen heeft elk pasje een nummer (om te weten aan welke rekening de kaart gekoppeld is) en een methode om te bewijzen dat het ook echt jouw kaart is. Bij pin is dat natuurlijk de pin-code (waarvan iedereen inmiddels toch echt wel weet dat je die geheim houdt), terwijl creditcards de verloopdatum en/of een aparte driecijferige code gebruiken... die je niet geheim houdt maar werkelijk overal en nergens rondstrooit...!?

Okee, prima, creditcards stammen uit een tijdperk waarin het simpelweg niet mogelijk was om bij elke betaling contact op te nemen met het bedrijf dat de kaart uitgegeven heeft om een grondige controle uit te voeren. Het was nooit een mooie oplossing, maar ik kan begrijpen dat het een hele tijd de beste haalbare oplossing was. Maar vandaag de dag is dat allang niet meer zo. Kijk naar iDeal, kijk naar Paypal; systemen waarbij de verificatiecode wel geheim gehouden wordt en nooit zichtbaar is voor een andere partij. Dus ik zou zeggen: kappen met die 20e-eeuwse onzin; laten we eindelijk eens overstappen naar een systeem dat ontworpen is voor de 21e eeuw en voorgoed afscheid nemen van "het is weer zover, deze keer heeft winkel X een hele lading creditcards laten hacken", want serieus, echt nieuwswaardig is het niet meer als het bijna dagelijks gebeurt...

MrCaBLeGuY @robvanwijk • 21 september 2018 01:23

Er wordt gewoonweg grof geld verdient op de transacties. Afhankelijk van de hoeveelheden oplopend tot wel 3% per transactie.

Meer webshops zouden 3d secure moeten verplichten zodat dat gemeengoed wordt.

De schadepost is echter nooit voor de creditcard maatschappij. Je kan tot 120 dagen na de transactie als je dat zelf opmerkt een chargeback aanvragen. De wordt verwerkt en het risico daarvan ligt dan bij de verkoper (winkel of webshop waar je met die creditcard heb betaald).

Bij gebruik van 3d secure, of SecureCode zoals MasterCard het noemt heb je een extra wachtwoord verificatie. Het chargeback risico valt dan ook niet meer op de ondernemer.

robvanwijk @MrCaBLeGuY • 21 september 2018 02:15

Er wordt gewoonweg grof geld verdient op de transacties. Afhankelijk van de hoeveelheden oplopend tot wel 3% per transactie.

En waar komt dat geld uiteindelijk vandaan? Juist ja, bij de klanten. Want als de ondernemer meer moet afdragen, dan gooit ie natuurlijk de prijs omhoog. Als mensen die met een creditcard betalen dan ook gewoon 5% (niet alleen de extra kosten, ook vanwege het risico van chargebacks, wat bijna altijd niet de schuld is van de verkoper die erdoor getroffen wordt!) meer betalen dan mensen die met contant / pin / iDeal / whatever betalen, dan zou ik het op zich nog niet zo erg vinden. Maar in de praktijk gebeurt dat niet, waardoor ook alle niet-creditcard-gebruikers meebetalen aan de onkosten van dit volkomen achterhaalde systeem.

_JGC_ @robvanwijk • 21 september 2018 11:20

Hangt van de winkel af. Bij veel winkels betekent creditcard accepteren gewoon meer omzet. Je bedient dan nml ook de mensen die iDeal niet zien zitten of die het geld nog niet hebben maar wel alvast willen uitgeven. Je kunt ook kiezen om niks te verkopen aan die mensen.

Zo heb ik een incassocontract afgesloten voor een klant die een puinhoop maakt van het op tijd betalen van facturen. Na tig keer herinneringen sturen voor diverse facturen kreeg ik de vraag: "Kan je ook incasseren?"
Die automatische incasso kost me 2 euro per batch bovenop de kosten die je normaalgesproken hebt als bedrijf. Bereken ik die 2 euro door? Nee, ik ben allang blij dat ik zelf kan bepalen wanneer ik geld van die klant krijg.

robvanwijk @_JGC_ • 21 september 2018 12:22

Bij veel winkels betekent creditcard accepteren gewoon meer omzet. Je bedient dan nml ook de mensen die iDeal niet zien zitten of die het geld nog niet hebben maar wel alvast willen uitgeven. Je kunt ook kiezen om niks te verkopen aan die mensen.

Maar "er zijn mensen die het gebruiken" is toch absoluut geen reden om niet te verbeteren? Er zijn ook mensen die nog via 2G bellen en 3G niet zien zitten; dan is de conclusie toch niet opeens dat we geen 4G willen!? Waarom zou het onmogelijk zijn om een fatsoenlijk systeem op poten te zetten en (zelfs...) het grootste deel van de Amerikanen ervan te overtuigen over te stappen?

Die automatische incasso kost me 2 euro per batch bovenop de kosten die je normaalgesproken hebt als bedrijf. Bereken ik die 2 euro door? Nee, ik ben allang blij dat ik zelf kan bepalen wanneer ik geld van die klant krijg.

Ja, voor één klant zie ik je punt. (Zeker omdat continu er achteraan bellen en mailen een boel tijd kost, zodat je netto waarschijnlijk zelfs goedkoper uit bent in dit geval.) Maar als 90% van je klanten dit willen, zou je dan ook 2 euro extra onkosten accepteren per bestelling, zonder het door te berekenen?
En ja, in het geval van incasso gaat het om 2 euro per batch (dus 2 euro per dag, verdeeld over al je klanten), wat inderdaad verwaarloosbaar is. Maar bij creditcard-betalingen gaat het wel degelijk om kosten per transactie, dus echt vergelijkbaar is het hoe dan ook niet.

YangWenli @robvanwijk • 21 september 2018 10:58

In Amerika is er gewoon geen alternatief betalingssysteem. Het is CC of cash.

Creditcards zijn duur, ja je hebt een verzekering maar die betaal je gewoon terug in de kosten!

Pietervs @robvanwijk • 21 september 2018 01:30

Credit cards worden voor zoveel meer dingen gebruikt als alleen online aankopen: tolwegen (in het buitenland), tanken, hotels betalen, enzovoort.
Als ze alleen online gebruikt zouden worden zou je helemaal gelijk hebben gehad, maar ze zitten nu eenmaal in het "grijze gebied": zowel online als off-line

Pietervs @robvanwijk • 21 september 2018 06:45

Dat ben ik met je eens.
Maar wat wil je dan als alternatief gaan gebruiken voor credit cards in de off-line wereld? Terug naar cash? Dat lijkt mij een achteruitgang.

robvanwijk @Pietervs • 21 september 2018 07:04

Maar wat wil je dan als alternatief gaan gebruiken voor credit cards in de off-line wereld? Terug naar cash?

Bedoel je "echt" offline, zodat bijvoorbeeld pin ook geen optie is? Tja, het is niet alsof cheques heel veel beter beveiligd zijn dan creditcards (al is het namaken van een handtekening allicht lastiger dan het overschrijven van een nummertje) en heel veel andere opties zijn er niet.

Maar, als we het echt over die situatie hebben, dan zitten we automatisch in een situatie waarin (grootschalige) diefstal van creditcard gegevens zeer lastig wordt; een virus kan niet zomaar fysieke bonnetjes uploaden natuurlijk. En uiteraard zullen "analoge" betalingen vroeg of laat een keer digitaal moeten worden, maar in een omgeving waar transacties eerst op papier worden gedaan en pas later electronisch ingevoerd worden, daar neem ik aan dat het volume laag is (en dus niet bijster interessant voor criminelen). In dat geval kan een creditcard inderdaad handig zijn.

Overigens is er wat mij betreft niet zoveel mis met cash, dus ook dat zou zeker een optie kunnen zijn.

ParadiseBirds 21 september 2018 21:46

"Volgens SiComputers is er 'een mogelijkheid' dat er creditcardgegevens zijn gestolen". Zojuist gebeld door ICS en inderdaad is mijn kaart ook misbruikt. Voor de nike store en een playstation. Volgens de medewerkster stond ik al enige tijd -de creditcard- op een lijst van verdachte transacties maar was ik nu pas aan de beurt om gebeld te worden. Dat impliceert dat het misbruik waarschijnlijk groter is dan SiComputers zelf aangeeft. ICS was al op de hoogte van de grote hack en ze waren er erg druk mee ook.

Crim 20 september 2018 23:00

Niet iedereen weet dat websites en servers constant worden aangevallen door allerlei geautomatiseerde scripts die complete IP ranges en lijsten doorzoeken op kwetsbaarheden. Het is redelijk makkelijk om een Magento webshop te (laten bouwen) en misschien heeft dit bedrijf wel gedacht dat de ontwikkelaar het geheel wel veilig en gepatched zou houden. Het lijkt erop dat het door een Spaans bedrijf is gemaakt (https://visualwebs.es/portfolio/sicomputers/) en ik denk dat SiComputers komende dagen/weken wel gaan zorgen dat alles bijgewerkt wordt. Altijd direct roepen wat een prutsers en beschamend zorgt er alleen maar voor dat bedrijven nog terughoudender worden met het melden van dit soort zaken, in dit geval is er nog direct netjes een mail uitgestuurd.

Ik heb het eens getest op een CentOS 6 VM met een verouderd CMS, zonder firewall configuratie en na 2 dagen stond deze vol met andere PHP bestanden welke constant werden aangeroepen om spam te versturen, na 3 dagen waren er ook andere users aangemaakt. In Nederland zijn ook al talloze Magento / WooCommerce shops gehackt en worden de klantgegevens weer misbruikt om allerlei soorten fraude mee te plegen. Met creditcard betalen is gelukkig nog redelijk veilig omdat je altijd je geld weer terug krijgt in dit soort gevallen.

RoestVrijStaal @Crim • 20 september 2018 23:29

Het kan nog erger:
Die Spaanse websitebouwer bouwt de website, host het ergens, en verder kijkt er niemand meer naar.

Uit de post van @Opperpanter2 blijkt dat het om een website gaat die draait op php5.3. Dat riekt naar een unmanaged hosting/server waar al jaren niemand meer naar gekeken heeft.

Cergorach

Beveiliging en antivirus

@RoestVrijStaal • 21 september 2018 00:55

Als ik kijk naar het ip adres van si computers en dat volg via tracert kom ik uit bij: directvps.nl

Deze leveren VPSen en dedicated servers, zo te zien doen ze zelf geen websitehosting. Ze leveren wel reseller accounts, dus wellicht dat een 3e partij dit regelt/verzorgt.

Het domein sicomputers.nl wordt dan weer gehost bij Transip.

Opperpanter2 @Cergorach • 21 september 2018 09:35

De TLS config is ook suboptimaal: https://www.ssllabs.com/s...yze.html?d=sicomputers.nl

DJMaze @Crim • 21 september 2018 03:01

Jij bent veilig met je CC.
SiComputers moet alle schade aan de CC providers betalen omdat ze niet voldoen aan de PCI-DSS.

Dit is dus echt beschamend en het bedrijf moet aan de schandpaal.
Je bent veel te lief met nuanceren.
Dat mag van mij alleen bij kleine bedrijfjes die geen CC verwerken en anders 50% van hun omzet moeten besteden aan beveiliging wat voor coolblue misschien 1% van de omzet is.

Elk bedrijf dat je CC vraagt moet gewoon onder de loep.

Opperpanter2 @Crim • 21 september 2018 09:37

Het is inderdaad soms makkelijk om van de zijlijn te namen en shamen. Aan de andere kant is het anno 2018 echt niet meer ok zoals zij hun shop draaien. Soms is er juist naming en shaming nodig om vooruitgang te boeken:

https://www.troyhunt.com/...cly-shaming-bad-security/

Gipsy King

21 september 2018 08:43

Heeft Tweakers wel met Sicomputers zelf gesproken om te bekijken wat de situatie nu daadwerkelijk is ? Het is een klant van jullie waar jullie zelf ook genoeg aan verdienen met de o.a. Pricewatch , dan mag je toch ook wel een beetje protectie bieden i.p.v. dit gelijk aan de schandpaal op de FP te pinnen ?! Niet heel netjes als je het mij vraagt.

Neemt niet weg dat Sicomputers als de donder en bliksem aan de bak moet en wellicht zelf een statement zowel hier als op hun FP achter moet laten om zo duidelijkheid te verschaffen voor alle getroffen gebruikers , en ook duidelijk te maken dat het weer veilig is voor toekomstige klanten ?

418O2 @Gipsy King • 21 september 2018 09:52

Volgens mij is het wettelijk verplicht om het te melden voor SiComputers. Dat tweakers dat doorzet vind ik persoonlijk wel goed; dit is toch een red flag (niet de enige bij deze toko) voor toekomstige klanten. Als ik hier namelijk lees hoe ze hun tech hebben geregeld, krijg ik niet de behoefte om er ooit nog wat te bestellen.

PcDealer @418O2 • 22 september 2018 13:21

Volgens mij is het wettelijk verplicht om het te melden voor SiComputers.

Dat moeten ze bj de AP melden en de betroffenen. Uit de reacties hier en op hun https://tweakers.net/shop.../sicomputers/shopreviews/ @Gipsy King is daar geen sprake van.

[Reactie gewijzigd door PcDealer op 22 juli 2024 15:00]

Gipsy King

@PcDealer • 22 september 2018 17:37

je hoeft me niet te taggen pc dealer, ik lees vanzelf mee. Verder weet ik ook niks van Sicomputers , ben er ook geen klant en gelukkig heb ik ook geen creditcard

Het viel me gewoon op dat er al een stortvloed aanmelding op hun review pagina kwam , het lijkt er wel opdat ze contact hebben met de getroffenen?

Geen bericht op hun FP , wel staan er tel nr en whatsapp , wellicht mailen ze klanten ?

https://www.sicomputers.nl

[Reactie gewijzigd door Gipsy King op 22 juli 2024 15:00]

PcDealer @Gipsy King • 22 september 2018 13:22

Afgezien van hoor en wederhoor (terecht ethisch punt) zou je deze wel moeten weten: https://tweakers.net/info/over-tweakers/onafhankelijkheid/

[Reactie gewijzigd door PcDealer op 22 juli 2024 15:00]

Gipsy King

@PcDealer • 22 september 2018 16:02

Helemaal mooi

ze zullen er zelf vast druk mee bezig zijn de medewerkers van Sicomputers.

De eerste dominosteen lijkt ook al gevallen nu :

https://tweakers.net/shop.../sicomputers/shopreviews/

[Reactie gewijzigd door Gipsy King op 22 juli 2024 15:00]

GunterO 20 september 2018 22:23

Bij mij is er 2x fraude gepleegd na een aankoop bij SiComputers. Eerste keer midden augustus. Kaart laten blokkeren, nieuwe kaart gekregen. Nu midden september weer prijs

Gisterenavond hen een e-mail gestuurd dat ik hen ervan verdenkte een lekke site te hebben. Deze morgen deze algemene e-mail en een persoonlijke e-mail.
Niet leuk ...

regmaster @GunterO • 21 september 2018 10:36

Twee keer het slachtoffer? Na één keer zou de boodschap toch al duidelijk moeten zijn om zo'n webshop te mijden als de pest. Het is mij één keer bij een webshop overkomen dat mijn CC gegevens waren misbruikt. Ik ontving een belletje van de credit card maatschappij of ik degene was die de bestelling had gedaan. Ze hadden voor de zekerheid de betaling al geblokkeerd en ook mijn kaart. Prima service dus en ik heb daarna nooit meer iets bij de webshop gekocht. Een webshop hoort geen creditcard of andere betaalpas gegevens op te slaan want de doelbinding en rechtmatigheid ervan ontbreekt. Het enige dat ze moeten vast stellen is dat er betaald is en maar met welk kaartnummer is totaal niet relevant om op te slaan. Wat je niet hebt hoef je ook niet te beveiligen tenslotte.

GunterO @regmaster • 21 september 2018 17:19

Je legt niet meteen de link na 1x bij deze webshop. Het nummer etc kan op verschillende manieren en plaatsen buit gemaakt zijn.Na de 2e keer was natuurlijk wel de link snel gemaakt.

SteveWoz @GunterO • 20 september 2018 22:43

Ik ook inderdaad. Na een bestelling een tijd later een aankoop bij de Guess webshop in Italië van enkele euro’s. Meteen mijn kaart laten blokkeren. En ik me maar afvragen waar mijn gegevens buitgemaakt zijn. Wat ik me kan herinneren is dat je je creditcardgegevens invulde bij SciComputers en vervolgens werd doorgestuurd naar hun payment service provider (ik weet even niet meer welke) en vervolgens opnieuw je creditcardgegevens moest invullen. Dat vond ik toen al raar.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (132)

Sorteer op:

Weergave: