Europol waarschuwt 443 webwinkels die met malware zijn besmet

Verschillende Europese en Amerikaanse politiediensten hebben samen met Europol 443 webwinkels gewaarschuwd die met malware zijn besmet. De malware in kwestie steelt de creditcardgegevens van de klanten bij het afrekenen.

Volgens Europol zijn de webwinkels actief in zeventien Europese landen, waaronder Nederland. De webwinkels konden met malware worden besmet doordat ze onder andere gebruikmaken van verouderde software. Ook vermoedt Europol dat cybercriminelen de malware hebben kunnen installeren door in te loggen met gestolen inloggegevens. De gestolen creditcardgegevens worden meestal door de criminelen verkocht en worden vervolgens gebruikt om fraude mee te plegen.

"Klanten weten meestal niet dat hun betaalgegevens zijn gestolen, totdat de criminelen ze gebruiken voor ongeautoriseerde transacties. Het is vaak lastig voor klanten om de bron te achterhalen", schrijft Europol.

De operatie werd geleid door de Griekse autoriteiten. Ook opsporingsdiensten uit Nederland, de VS, Albanië, België, Bosnië en Herzegovina, Colombia, Kroatië, Finland, Duitsland, Georgië, Hongarije, Moldavië, Polen, Roemenië, Spanje en het VK zijn betrokken. Welke webwinkels Europol heeft gewaarschuwd, is niet bekend.

IT-banen

Reacties (85)

Houtenklaas 22 december 2023 13:26

Ik snap dat "blaming and shaming" niet het doel is ... maar ik zou wel graag willen weten welke webwinkels dat zijn om die conclusie WEL te trekken waar mogelijke fraude vandaan komt ...

wildhagen

Malware
Verenigde staten
Politiek en recht
Europa

@Houtenklaas • 22 december 2023 13:28

Als de webshop legitiem is zullen zij neem ik aan na deze waarschuwing hun klantenbestand zelf wel informeren via de bij hen bekende contactgegevens (mail, telefonisch etc).

Denk dat Europol dit liever niet zelf publiek wil maken, juist om wat je zelf al zegt 'naming and shaming' te voorkomen, en te voorkomen dat ze wellicht juridisch worden aangeklaagd.

kodak

Fraude
Malware

@wildhagen • 22 december 2023 14:36

De wettelijke taak van de politie lijkt me slachtoffers te informeren. De webwinkels hebben die plicht alleen onder beperkte omstandigheden, waarbij ze ook nog kunnen beslissen om het niet te doen.

Het lijkt me dan op zijn minst dat de politie er niet zomaar vanuit gaat dat de slachtoffers dus wel geïnformeerd worden, of dat ze onvoldoende weten en dus maar niet hoeven doen. Ze stellen immers zelf dat slachtoffers vaak niet weten dat ze slachtoffer zijn, dat gaat dus niet alleen op voor de webwinkels. Het probleem lijkt vaak het kiezen zo min mogelijk te doen aan informeren om andere belangen voorop te stellen.

willemd

@kodak • 22 december 2023 14:44

De wettelijke taak van de politie lijkt me slachtoffers te informeren. De webwinkels hebben die plicht alleen onder beperkte omstandigheden, waarbij ze ook nog kunnen beslissen om het niet te doen.

Is het vanuit de AVG niet gewoon verplicht om betrokkenen te informeren als er bruikbare persoonsgegevens gestolen zijn?

kodak

Fraude
Malware

@willemd • 22 december 2023 14:57

Het informeren van de toezichthouder is verplicht. Maar de slachtoffers hoeven door een verantwoordelijke alleen geïnformeerd te worden als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. De verantwoordelijke beoordeelt dit zelf, op basis van een eigen risico-inschatting.

[Reactie gewijzigd door kodak op 24 juli 2024 13:17]

brammetje1994 @kodak • 22 december 2023 16:02

Creditcard gegevens hebben een behoorlijk hoog risico op een impact voor de slachtoffers. In het geval dat de verantwoordelijke kan achterhalen welke creditcard gegevens buit zijn gemaakt, mag je verwachten dat zij hierover de betreffende gebruikers/klanten informeren. Op basis van de laatste EDPB guidelines zou ik dat in ieder geval verwachten.

Bron: https://edpb.europa.eu/sy..._notification_v2.0_en.pdf

Arjan P @kodak • 22 december 2023 15:00

De wettelijke taak van de politie lijkt me slachtoffers te informeren. De webwinkels hebben die plicht alleen onder beperkte omstandigheden, waarbij ze ook nog kunnen beslissen om het niet te doen.

Heb je hier een bron voor? Ten eerste gaat het hier om Europol, en dat is een samenwerkingsverband (dus niet 'de politie') en ten tweede lljkt het me juist een taak voor de winkels.

kodak

Fraude
Malware

@Arjan P • 22 december 2023 15:31

De toezichthouder in Nederland maakt de vrijheden en plichten als volgt duidelijk:
https://www.autoriteitper...atalek-wel-of-niet-melden

Dat Europol een samenwerking is doet er weinig aan af dat de politie dus weet mag hebben dat die winkels niet zomaar slachtoffers gaan informeren en het informeren van de winkels als slachtoffer niet zomaar genoeg is.

Arjan P @kodak • 22 december 2023 16:41

Jouw link maakt juist duidelijk dat het dus een taak is van de winkels, die ook als enige kunnen weten welke klanten betrokken zijn. Niet iedereen betaalt op dezelfde manier of maakt een profiel aan om iets te bestellen. En dit is dus inderdaad een taak van de toezichthouder, niet van 'de politie'. Jouw claim over de wettelijke taak van de politie zie ik dus niet onderbouwd. En hoewel je zegt 'lijkt me', suggereer je hier dus iets mee wat niet waar is.

kodak

Fraude
Malware

@Arjan P • 22 december 2023 17:09

Waaruit maak je op dat het de volledige taak van de webwinkels is als er letterlijk staat dat die alleen onder bepaalde omstandigheden de personen hoeven te informeren? Want er is een groot verschil tussen 'hoeft niet altijd' en 'altijd'.

Daarbij stelt de wet niet dat een toezichthouder als enige de taak heeft te zorgen dat slachtoffers geïnformeerd worden. Sterker nog, de toezichthouder ziet er hooguit selectief op toe of dat wel nodig was. Daarmee is de taak van de politie dus niet zomaar minder wat betreft slachtoffers informeren. Lekker makkelijk: nee iemand anders doet dat misschien wel, terwijl men wel selectief webwinkels gaat informeren omdat er zeer aannemelijk een datalek voor de webwinkels, personeel en hun klanten is.

Neemt niet weg dat het moeite doen om de webwinkels te informeren zeer te waarderen is. Maar om slachtoffers te helpen bewust te worden is selectief informeren en dan maar het beloop laten volkomen onvoldoende. Daar krijgt de politie, toezichthouder en slachtoffers eerder meer problemen mee dan minder.

[Reactie gewijzigd door kodak op 24 juli 2024 13:17]

Arjan P @kodak • 23 december 2023 13:56

Daarmee is de taak van de politie dus niet zomaar minder wat betreft slachtoffers informeren.

We kunnen nog heel lang over toezichthouders doorgaan, maar hier heb ik dus nog steeds geen onderbouwing van gezien. Graag een link waaruit blijkt dat informeren van 'slachtoffers' een taak is van de poitie.

kodak

Fraude
Malware

@Arjan P • 23 december 2023 15:41

Het nieuws is daar zelf al het bewijs van. Dat kan de politie alleen doen als het hun taak is. Het beschermen en helpen tegen onwettige situaties is zelfs een kerntaak van de politie, waarbij hen die hulp behoeven niet zomaar opgevat mag worden als selectief niet of zelfs hopelijk doet een mede-veroorzaker van de slachtoffers het wel.. https://www.politie.nl/informatie/kerntaken-politie.html

WillySis @kodak • 22 december 2023 17:21

Voor de politie zijn de webwinkels de slachtoffers. Het is aan deze slachtoffers om gepaste actie te ondernemen. Binnen de EU zullen de webwinkels dus moeten onderzoeken of er daadwerkelijk een zodanige hack heeft plaatsgevonden dat er mogelijk gegevens zijn gestolen.
Als het mogelijk is dat er gegevens zijn gestolen zal de betreffende webwinkel daar melding van moeten maken bij de AP en de ook de klanten moeten informeren. Als duidelijk is van welke klanten (mogelijk) gestolen is, dan hoeft men alleen die klanten te informeren. Als niet duidelijk is of er gegevens zijn gestolen, of niet van welke klanten, dan zullen alle klanten die ooit met een creditcard hebben betaald geïnformeerd moeten worden.

kodak

Fraude
Malware

@WillySis • 23 december 2023 13:47

De wet stelt niet dat de politie er goed aan doet zo selectief te zijn. Eerder dat als men een zwaar vermoeden heeft dat er meer slachtoffers zijn men deze niet zomaar hoort te negeren, laat staan het probleem af te schuiven.

Er is hier sprake van een zwaar vermoeden: men licht immers niet slechts de webwinkels in omdat men alleen die winkels en hun medewerkers als slachtoffers vermoed. Er blijkt duidelijk besef dat de criminelen de klanten als slachtoffer maken en hebben gemaakt. Dat ze mogelijk niet precies weten wie maar wel weten welke mede-veroorzakers (de webwinkels zijn immers niet slechts slachtoffers) dat horen te kunnen uitleggen is geen redelijke grens.

Door opzettelijk geen eigen verantwoordelijkheid te nemen voor een (groot) deel van het zware vermoeden, en zelfs op mede-veroorzakers af te schuiven, is het gevolg dat een groot deel van de slachtoffers extra risico loopt en onnodig lang risisico loopt. En de wet stelt niet dat dit de bedoeling is, eerder dat er opzettelijk meer mogelijkheden zijn verplicht om slachtoffers te voorkomen en beperken.

Dat er sinds enige tijd ook wetgeving is die webwinkels en een toezichthouder er verplichtingen bij hebben gegeven is er niet om te zorgen dat de politie alleen de webwinkels gaat informeren en dan te hopen dat het dan maar goed komt. Er staat namelijk nergens dat het een vervanging voor de taken en plichten van anderen is, dus ook niet voor de politie. Het kan alleen als verlichting opgevat worden als men voldoende zekerheid heeft dat die webwinkels en de toezichthouder hun verantwoordelijkheid naar de klanten opvatten om werkelijk te informeren. En die zekerheid is er niet, er is eerder zekerheid dat de mede-veroorzakers niet zomaar de slachtoffers gaan informeren en daar ook mee weg komen.

Verantwoordelijkheid hebben lijkt in de praktijk vooral een kwestie te zijn van niet selectief toepassen. Dat gaat op voor de politie, dat gaat op voor de bedrijven die data (laten) lekken, dat gaat op voor de toezichthouder. Met als gevolg dat slachtoffers de dupe blijven zijn. Er mag dus wel meer verwacht worden dan stellen dat webwinkels die de wet zeer waarschijnlijk overtreden hebben en (onbedoeld) slachtoffers hebben helpen maken dus maar betrouwbaar zijn om de slachtoffers te informeren.

WillySis @kodak • 23 december 2023 16:22

Volgens de wet heeft de politie geen enkele plicht bij het ontdekken van datalekken. Voor de veroordeling heeft men echter aangiftes nodig en van webwinkels die niet weten dat ze ooit gehackt zijn krijgen ze geen aangifte. De politie heeft dus zelf belang bij het op de hoogte stellen van de slachtoffers. Webwinkels die weten of een sterk vermoeden kunnen hebben zijn vervolgens verplicht een onderzoek in te stellen en als er klantgegevens zijn gelekt ook melding te doen bij de AP en de getroffen klanten in te lichten.

Ortep

@wildhagen • 22 december 2023 13:43

Was het maar waar. Ik heb niet het idee dat een handwerk winkeltje dat haaknaalden verkoopt zelfs maar begrijpt wat het probleem is

DeComponeur @Ortep • 22 december 2023 13:50

Lekker slag in de lucht dit.

Als zo'n winkeltje geen idee heeft hebben ze òf geen website/shop òf ze hebben er één laten maken.

Die websitemaker weet ongetwijfeld wat er moet gebeuren... Of dat goed gaat is de vraag, maar om nu opeens alle kleine webshopjes verdacht te maken lijkt me zeer overdreven.
Europol waarschuwt er 443 in 17 landen, geen 100.000...

Ortep

@DeComponeur • 22 december 2023 14:04

Niet helmaal een slag in de lucht. Ik ken er een paar

WillySis @Ortep • 22 december 2023 17:27

De meeste kleine "hobby" web-winkeltjes accepteren geen creditcard betalingen en kunnen daarmee opgelucht ademhalen. Ook de webwinkels die via een betaalprovider als Mollie, Buckaroo enz. werken kunnen opgelucht ademhalen. Die winkels hebben domweg geen creditcardgegevens die gestolen kunnen worden.

xxxMaverick @wildhagen • 22 december 2023 13:54

Zou je denken maar doen ze niet . Bv badkamerwinkel.nl zeer groot datalek maar 0 communicatie ( alleen als je zelf aan de bel trok) . Elke week nu ‘aanvallen’ met deze data en men negeert het en wacht tot het voorbij gaat
Zeggen ‘ kunnen niet verifiëren dat er data is gestolen ‘ maar aantoonbaar door meerdere tweakers en anderen bevestigd

Bizar

Heroic_Nonsense

@xxxMaverick • 22 december 2023 14:13

Een paar jaar geleden is de Lightspeed eCommerce-omgeving ook even lek geweest. Webshops (ook in NL) die daarop draaien, hebben daardoor klantgegevens gelekt. Maar 0,0 communicatie vanuit die winkels helaas. En dat waren ook niet (alleen) kleintjes.

WillySis @xxxMaverick • 23 december 2023 16:34

Als je een datalek aan de webshop gemeld hebt en je krijgt daar verder geen reactie op, meldt het dan ook aan de AP (zie: https://www.autoriteitper...klacht-indienen-bij-de-ap). De straffen kunnen oplopen tot 2M of 0,4% van de jaaromzet. Voor de meeste bedrijven is dat te overleven, maar wel zodanig dat men dat in de jaarboeken zal moeten verantwoorden.

Cobalt @wildhagen • 22 december 2023 14:36

Zo lang het niet gefixt is wil je gewoon een lijst hebben van sites die je moet vermijden totdat er gepubliseert is dat het gefixt is.

5pë©ïàál_Tèkén @Houtenklaas • 22 december 2023 13:38

Het probleem van digitaal namen & shamen is dat er zó veel datalekken/malware/hacks/Ddos/phising plaatvinden, dat als alle bedrijven & instellingen dan genoemd worden mensen denken dat heel digitaal Nederland onveilig is. Met als gevolg dat mensen afstompen ('oh, het zoveelste lek, mijn gegevens liggen vast al op straat') en zich nog minder bekommeren om hun privacy. Ook staat het vermelden van een groot bedrijf niet in verhouding als het om een klein lek gaat. https://www.nu.nl/tech/61...ndslingerend-briefje.html is daar een goed voorbeeld van.

kodak

Fraude
Malware

@5pë©ïàál_Tèkén • 22 december 2023 14:04

De politie stelt niet voor niets dat het een probleem is dat slachtoffers vaak niet weten dat ze slachtoffer zijn. Dus net doen alsof het probleem er niet is en niet informeren is eerder zwaar ongewenst. Dat niet iedereen (inclusief criminelen) meteen hoeft te weten waar het mis is lijkt me wat anders dan op zijn minst behoorlijke moeite tonen slachtoffers in te laten lichten.
Ik vermoed alleen dat de wetgeving het niet zomaar mogelijk maakt dat de politie dat gaat eisen, en waarschijnlijk mag die ook niet zomaar een toezichthouder informeren zodat die er achter aan kan.

5pë©ïàál_Tèkén @kodak • 22 december 2023 15:17

Er is een groot verschil tussen publieke name & shame of doen alsof het probleem er niet is. Er zijn ook maatregelen die passender zijn, zoals een webshop zelf de getroffen klanten laten benaderen (of ze ten minste te kans geven dit te doen).
De politie heeft een handhavende taak en in (relatief) beperkte mate een voorlichtende. Omdat het hier niet duidelijk is welke aantoonbare schade de betroffen personen hieraan ondervinden kan de politie hier verder niks mee. Toon maar eens aan dat phisingmail X direct gebaseerd is op gestolen data van datalek Y.

Voor particulieren geldt ook een verantwoordelijkheid, zoals haveIbeenpwned.com in de gaten houden. Dit is inderdaad de omgekeerde wereld, maar praktische alternatieven zie ik niet zo snel vanwege inderdaad wetgeving.

kodak

Fraude
Malware

@5pë©ïàál_Tèkén • 22 december 2023 17:01

De taken van de politie lijken me niet zomaar beperkt, omdat de wet die grens niet duidelijk stelt. Eerder het omgekeerde als men ern redelijk vermoeden kan hebben dat er slachtoffers zijn en men ook nog eens stelt dat die gewoonlijk slecht geïnformeerd worden.
De webwinkels gelegenheid geven te informeren lijkt me zeker redelijk, maar onder deze omstandigheden is dat veel te vrijblijvend. Het gaat de politie immers niet slechts om het informeren van de webwinkels maar ook om het redelijke vermoeden dat hun klanten niet geinformeer worden en daardoor meer problemen bestaan en ontstaan die wettelijk die wettelijk door de beugel kunnen. Men is daarmee mede verantwoordelijk voor die slachtoffers en problemen die ze stellen niet te willen. Dat lijkt me niet de bedoeling.

Houtenklaas @5pë©ïàál_Tèkén • 22 december 2023 13:57

Herkenbaar en "klein lek" moet je niet met groot geschut op tekeer gaan. Maar waar het in het artikel over gaat is geen klein bier ...

wigwam @Houtenklaas • 22 december 2023 14:01

precies

hoost749 @Houtenklaas • 23 december 2023 15:52

helemaal mee eens !

vrow @Houtenklaas • 24 december 2023 12:05

De term die je bedoelt 'naming and shaming'.
Je hebt ook 'victim blaming'.

Maakt verder voor nu niet uit natuurlijk, je punt is verder helder!

MrMonkE @Houtenklaas • 22 december 2023 13:33

Ik snap dat "blaming and shaming" niet het doel is ... maar ik zou wel graag willen weten welke webwinkels dat zijn om die conclusie WEL te trekken waar mogelijke fraude vandaan komt ...

Ik zou graag zien dat die partijen verplicht zijn die domeinen offline te halen tot er een fix is.
Kan daar geen regelgeving voor komen?

Asitis @MrMonkE • 22 december 2023 13:51

Dat is simpelweg niet realistisch, praktisch en juridisch niet. Er zijn zoveel verschillende mogelijke factoren dat je niet 1 lijn kunt trekken dat een heel bedrijf maar offline gaat omdat er mogelijk 1 onderdeel een probleem is. In veel gevallen van webwinkels worden betaalopties uitbesteed aan partijen als Mollie en Multisafepay en is het "makkelijk" om 1 van die methodes uit te schakelen, daar zou best regelgeving voor mogen bestaan maar met zoveel van die dingen; hoe ga je dat handhaven?

cariolive23 @Asitis • 22 december 2023 16:04

Dat was ook mijn gedachte, maar wanneer je er heel even over nadenkt, is het nog niet zo gek om een domein offline te halen.

Realistisch? Het is bijzonder eenvoudig om een domein offline te halen, de politie doet dit wel vaker.
Praktisch? Zeker, want hiermee stop je het lekken van de data en je legt het probleem neer bij de eigenaar van het domein. Die moet z'n code opschonen. Een Mastercard zou de eigenaar van zo'n domein ook aansprakelijk kunnen stellen voor alle schade.
Juridisch? Ik ben geen jurist, maar wellicht is het met de huidige wetgeving al mogelijk. En zo niet, kun je de wet aanpassen, nieuwe wetgeving schrijven, etc. Hier is altijd een oplossing voor, wanneer men het wil.

Wanneer je niks doet, blijft het maar lekken en blijf je criminelen van geld voorzien.

MrMonkE @5pë©ïàál_Tèkén • 22 december 2023 13:44

Is dat een referentie naar iets? Ken ik niet dan.
Dit gaat om creditcard gegevens. Geen A4tjes.
Zodra bekend is dat een shop dat lekt moet hij gewoon offline lijkt me,

Houtenklaas @MrMonkE • 22 december 2023 13:55

En dat lukt je niet zonder wereldwijde afspraken. Een website die in Panama draait zonder enige regelgeving lacht je vierkant uit. De website eigenaar heeft geen belang om klanten in te lichten ook. En dan neig ik naar een stappenplan:
1) Aantoonbaar je klanten inlichten
2) Website direct aanpassen en laten pentesten
3) Kosten van creditkaart vervangen verplicht verhalen op de website in kwestie
4) En doe je dat niet binnen x dagen op de externe lijst met "Hier kan je beter niet kopen"

watercoolertje

Malware

@Houtenklaas • 22 december 2023 14:15

En dat lukt je niet zonder wereldwijde afspraken.

Hoeft ook niet, het gaat hier specifiek om Europese websites/bedrijven:

Volgens Europol zijn de webwinkels actief in zeventien Europese landen, waaronder Nederland.

Je kan de bedrijven (die dus europees zijn) wel degelijk dusdanig onder druk zetten dat ze stappen moeten ondernemen.

Ook kunnen domeinen prima geblokt worden door providers als de bedrijven alsnog niet meewerken, dat lukt met TPB toch ook?

Houtenklaas @watercoolertje • 22 december 2023 15:12

Ik lees "actief" anders. Het kunnen best EU bedrijven zijn, maar dat zegt niet dat de website ook in de EU draait, daar ging mijn response specifiek over. De wetgeving t.a.v. het blokkeren van domeinnamen is nu niet uitgerust voor dit soort dingen. Dat het techisch kan wil niet zeggen dat het dan ook wettelijk bruikbaar is. Daar zal een wetswijziging voor nodig zijn. Daarnaast is een tweede domeinnaam zo geboren en gaat men vrolijk daar verder. Een website uit de lucht halen is één, maar dient in mijn optiek geen enkel nut.

Ik zie het meer in het scenario dat er data gelekt is en dat de aangifte bij ACM voor het bedrijf gedaan wordt. En vervolgens er actief gehandhaafd wordt, wat dat ook betekent op dit moment. Dat ACM afdwingt dat klanten worden ingelicht en een verbeterplan (aantoonbaar) wordt geïmplementeerd. Zoiets.

B64

@5pë©ïàál_Tèkén • 22 december 2023 13:58

Ik verwacht van een dienst als DigiD toch zeker wel dat de gebruikte software up-to-date is. Mocht dat niet zo zijn en de boel wordt op wat voor manier dan ook geïnjecteerd, dan lijkt het mij niet meer dan logisch dat de boel inderdaad verplicht plat gaat.

Dit gaat om webshops die (al dan niet bewust) achterstallig onderhoud hebben op hun betaalsysteem, waar uiteindelijk klanten de dupe van worden. Het lijkt me inderdaad geen raar idee om daar enige dwang op uit te oefenen.

Als de APK van mijn auto is verlopen, mag ik er ook niet meer mee rijden.

Cybje 22 december 2023 13:30

Het heeft toch altijd mijn voorkeur als webwinkels gebruik maken van een externe payment service provider, zoals Adyen of Mollie. Niet dat dat 100% garandeert dat er niks lekt, ook daar kan iets misgaan, maar het is wel hun core business om betalingen veilig te verwerken. De audits die bij dat soort bedrijven worden gedaan zijn ook veel strenger.

Mijn ervaring is dat veel kleinere webwinkels gewoon ooit wat hebben laten ontwikkelen op basis van Magento of Woocommerce en daarna vergeten om onderhoud en updates te doen. Vroeg of laat is zo'n winkel gewoon lek. De eigenaar heeft er vaak ook te weinig verstand van, dus je kunt diegene ook niet helemaal de schuld geven. Maar bij dat soort winkels direct je betaalgegevens achterlaten is geen goed idee (vind ik).

Verwijderd @Cybje • 22 december 2023 13:45

De eigenaar heeft er vaak ook te weinig verstand van, dus je kunt diegene ook niet helemaal de schuld geven.

Als je ergens geen verstand van hebt is het wellicht handig om expertise in te huren. Dat een ondernemer ergens geen verstand van heeft en daarom geen schuld heeft wanneer het misgaat, vind ik wel lachwekkend.

Cybje @Verwijderd • 22 december 2023 13:57

Misschien heb ik het verkeerd verwoord, maar ze hebben vaak niet eens het verstand ervan dat ze daarvan op de hoogte zijn. Ze denken vaak dat je een webshop koopt, eenmalig laat ontwikkelen. Niet dat je er daarna praktisch maandelijks onderhoud aan hebt.

En ja, een goede ontwikkelaar zal ze goed adviseren, maar er zijn zat beunhazen die het gewoon naast hun studie of werk doen. En die geven vaak niet dat advies. En dat is wel regelmatig waar de kleine winkeltjes in een willekeurig vaag dorp hun webshop laten bouwen.

Heb lang genoeg in de hosting gewerkt om dit continu te zien gebeuren.

Zer0 @Verwijderd • 22 december 2023 14:42

Als je ergens geen verstand van hebt is het wellicht handig om expertise in te huren.

Ik ben het met je eens dat de eindverantwoordelijkheid bij de winkelier ligt, maar als je ergens geen verstand van hebt is het vaak ook moeilijk om in te schatten of de expert die je inhuurt er werkelijk verstand van heeft.

MBicknese 22 december 2023 13:28

Zouden ze er speciaal 443 hebben geselecteerd om een https pun te maken?

beerse @MBicknese • 22 december 2023 13:30

Ze hadden er eerst 80 maar dat was niet veilig genoeg.

m-a-r-t-1 @beerse • 22 december 2023 13:33

$_/-\o_$

MrR0b3rt @beerse • 22 december 2023 13:49

Ik kwam hier voor deze en de originele opmerkingen $_/-\o_$

Bas_f @MrR0b3rt • 22 december 2023 14:59

Ik ook. En ben niet teleurgesteld.

kodak

Fraude
Malware

@MBicknese • 22 december 2023 13:56

502 Bad Gateway had me dan gepaster geleken. Al lijkt het me prettiger als het er niet meer dan 443 blijken te zijn.

m_snel @MBicknese • 22 december 2023 18:11

Ja dat was ook mijn gedachte, wel toevallig.

wetlips @MBicknese • 23 december 2023 08:45

ja vreemd he precies 443 websites hetzelfde als de veiliger poort

The Zep Man

Politiek en recht
Verenigde staten
Malware

22 december 2023 13:27

De malware in kwestie steelt de creditcardgegevens van de klanten bij het afrekenen.

Europol kan beter (ook) melding van die winkels bij kredietkaartmaatschappijen doen. Dan is het probleem zo opgelost.

Amandess 22 december 2023 13:28

Is er ergens een lijst met de besmette webwinkels?

DigitalExorcist @Amandess • 22 december 2023 13:29

Jawel. Maar wellicht niet openbáár. Ik denk in het dossier van Europol.

[Reactie gewijzigd door DigitalExorcist op 24 juli 2024 13:17]

eivissa100 @DigitalExorcist • 23 december 2023 11:06

Te gek voor woorden dat hierdoor burgers niet kunnen gewaarschuwd dat ze kunnen worden opgelicht!

arnoldus1955 22 december 2023 13:36

Wat ik eens gezien heb was een hack van een domein & CMS, waar een webshop toegevoegd werd.

Dus www.example.com heeft een website met ecommerce.
Het CMS-systeem werd gehacked, en er werd een 2e webshop aangemaakt:
www.example.com/superwebshop

Deze was bijna een jaar operationeel! Omdat de klant Google Analytics gebruikte, en deze subversieve webshop deze niet had, had er niemand in de gaten dat er clandestien een andere webshop opereerde.

De bedoeling was om het domein waar er vertrouwen in was, te misbruiken. Deze kwam zelfs in de Google-searches tevoorschijn!

HenkEisDS 22 december 2023 14:06

Goede actie van Europol!

Ze zouden van mij nog wel een paar stappen verder mogen gaan, namelijk die webshops/domeinen offline laten halen als de webmasters niet binnen een week hebben gereageerd. Maar daar zullen wel juridische/praktische bezwaren aan hangen die ik niet overzie.

emre076 22 december 2023 14:17

het zou mij niks verbazen als een deel er niks mee zou doen. o.a. klanten waarschuwen
met de vrees om hun klanten kwijt te raken en/of imago schade.

Polderviking

22 december 2023 14:20

Misschien moeten er sowieso eens regels gaan komen dat je alleen maar via erkende betaalproviders mag gaan en je dus zelf gewoon geen financiële data mag afhandelen totdat je daar een bepaald certificaat voor hebt waar technische voorwaarden aan kleven.

Al die makkelijke WordPress webshops/sites zijn leuk maar het regent ook security issues in dat landschap.
En veel van die dropshippers interesseert dat tevens geen stier als ze hun geld gewoon krijgen.

[Reactie gewijzigd door Polderviking op 24 juli 2024 13:17]

PsiTweaker 22 december 2023 14:23

Fijn te lezen dat men ( toch ) bezig is websites te controleren op malware !

Maar wat hebben de klanten aan de vermelding dat er 443 websites zijn gevonden, waarbij de kans is dat men daar privé gegevens verliest, zonder die lijst openbaar te maken ?

Want zolang de betreffende websites niet zelf hierop acteren en de malware verwijderen, zolang raken nieuwe klanten op die websites nog steeds hun privé gegevens kwijt !

Tevens zullen er websites bij zijn, die waarschijnlijk wel weten dat ze data lekken, bewust of onbewust.

Als die lijst van 443 websites openbaar zou zijn, dan kan een klant controleren of hij/zij onlangs op die website geweest is en/of die websites mijden. Dan heeft een klant er nog wat aan !

Nu is het afwachten of de betreffende website acties ondernemen en wanneer ze dat doen, terwijl de men ondertussen data blijft lekken, met alle gevolgen van dien !

[Reactie gewijzigd door PsiTweaker op 24 juli 2024 13:17]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: