LEGO-site vertoonde korte tijd cryptoscam na vermoedelijke hack

De LEGO-site lijkt korte tijd gehackt te zijn geweest. Verschillende gebruikers meldden zaterdagochtend dat er op de banner op de homepagina een cryptoscam te zien was. Inmiddels is deze banner niet meer te zien.

Zaterdagochtend rond 03:00 Nederlandse tijd merkten verschillende gebruikers op onder meer Reddit en X op dat de LEGO-site een banner vertoonde waarop een 'LEGO Coin' werd gepromoot. Deze banner leidde naar een cryptosite die 'LEGO Tokens' met ethereum aanbiedt. Ongeveer een uur later was de banner weer verdwenen. LEGO heeft zelf nog niets naar buiten gebracht over de vermoedelijke hack. Het is dus onduidelijk hoe de hackers toegang kregen tot de site en tot welke gegevens ze precies toegang hadden.

LEGO-cryptoscam

Door Kevin Krikhaar

Redacteur

05-10-2024 • 10:19

52

Submitter: mrmoustache

Reacties (52)

52
47
27
6
0
10
Wijzig sortering
Kijkend naar de Content Security Policy op lego.com dan staat die op read-only. Dat betekent dat elk domein content kan injecteren via elke leverancier die er al op staat.
Dus een ingang via een van de leveranciers is genoeg.

Een lijst van partijen volgens de CSP:

JavaScript van
*.lego.com www.everestjs.net assets.adobedtm.com *.doubleclick.net www.googletagmanager.com www.googleadservices.com connect.facebook.net bat.bing.com analytics.analytics-egain.com js-agent.newrelic.com bam-cell.nr-data.net d3tdkvfstzj7gy.cloudfront.net maps-api-ssl.google.com maps.googleapis.com cnstrc.com *.iovation.com *.iesnare.com www.paypal.com *.adyen.com *.force.com *.salesforce.com *.salesforceliveagent.com *.salesforce-sites.com *.my.site.com *.decibelinsight.net *.decibel.com

iframe van
*.lego.com *.adyen.com google.com www.sandbox.paypal.com *.doubleclick.net tpc.googlesyndication.com *.salesforce.com *.force.com *.salesforce-sites.com *.salesforce-scrt.com *.my.site.com connect.facebook.net facebook.com

Formulieren verzenden naar
*.force.com *.salesforce.com www.paypal.com connect.facebook.net

Dus als je via een van de bestaande accounts bij die sites er in kan, kun je de content injectie zelfs buiten de monitoring houden.

[Reactie gewijzigd door djwice op 5 oktober 2024 14:45]

Leuk, maar het is ononderbouwde speculatie dat dat de oorzaak is van deze hack. CSP gaat over frontend code, je kan daarmee niet de zomaar de backend aanpassen zonder ander security probleem, technisch kan je een cookie overnemen (afhankelijk van de cookie settings) maar om daadwerkelijk code aan te passen zul je hoogstwaarschijnlijk meer nodig hebben. De domeinen die je opnoemt zijn zeer generiek en een hack van die partijen zal zeer waarschijnlijk resulteren in een hack van grotere proportie.
Ik zal publiek niet te veel in de technische details gaan, niet iedereen die dit leest is goed gezind, maar in de lijst die ik hierboven gezet heb staan meerdere partijen die LEGO zelf gebruikt om content die van de backend komt realtime - before render - te vervangen met andere content.
Dit wordt o.a. toegepast in de banner.

Mocht je details willen, stuur een DM.

En je observatie klopt dat zeer generiek alle accounts en sub-domeinnamen van al die partijen uitgesloten zijn van monitoring. Wat niet klopt in je aanname is dat zo'n partij helemaal gehackt moet zijn om impact te kunnen maken op de LEGO website. Indirecte toegang tot slechts 1 account of script van een 3e of 4e partij is voldoende.

[Reactie gewijzigd door djwice op 6 oktober 2024 22:14]

Maar eigenlijk is toch alleen de JavaScript van lijst relevant toch? Waar een formulier naar toegestuurd kan worden boeit in dit zin niet.

In die lijst zo ik vooral de bekende tracking partijen en analytics boeren staan, die zijn dermate groot dat een hack waarschijnlijk een groter probleem zal veroorzaken (ja mogelijk via csp issues).

Mijn reactie was wellicht wat lomp maar ik vind het nogal suggestief om het hierop te schuiven terwijl er veel andere alternatieve oorzaken zijn te bedenken die minstens net zo waarschijnlijk zijn. De mate van targeting duid op een probleem specifiek bij deze organisatie. Mocht je overigens dingen willen delen/weten die je buiten het publiek wilt houden ben ik inderdaad geïnteresseerd.
Hoeft ook niet toch? Aangezien deze domeinen arbitraire JS uit mogen voeren kan het best zijn dat een ad campagne de banner vervangt in de DOM. Is wel ingewikkeld en getarget, maar het kan wel.
Ja, dat zou technisch ook kunnen, maar het lijkt mij onwaarschijnlijk.
Mij ook. Dit klinkt eerder alsof iemand toegang heeft gehad tot een S3 bucket, CMS of een git repo en de afbeelding gewoon vervangen heeft.
Opvallend dat *.my.site.com er tussen staat voor zowel javascript als iframes. Dat is bij de copy paste vergeten denk ik.
Geen bericht gezien van Lego over mogelijke data breach oid, toch maar even mijn wachtwoord veranderd voor de zekerheid.
Password rotation is sowieso geen slecht iets, ik snap dat bij een potentiële hack je het sowieso doet (al weet je dan niet of problemen opgelost zijn en het dus weer veilig zou moeten zijn...) etc, maar het kan ook geen kwaad het regelmatig te doen, bijvoorbeeld eens per (half) jaar oid. Met een password manager gaat dat gemakkelijker.

[Reactie gewijzigd door CH4OS op 5 oktober 2024 10:58]

Huidige best practice is om dat _niet_ heel regelmatig te doen. Uiteraard wel bij (het vermoeden van) een gecompromitteerd wachtwoord. Maar als het echt een nieuw random wachtwoord is, niet lijkend op (een deel van) het vorige wachtwoord kan dat geen kwaad. Probleem is echter dat veel gebruikers simpelweg een paar tekens aanpassen.

Zie bijvoorbeeld ook deze guidelines van NIST https://www.auditboard.com/blog/nist-password-guidelines/

En hier (sectie 10.2.1, PDF) https://nvlpubs.nist.gov/...tions/NIST.SP.800-63b.pdf

[Reactie gewijzigd door sOid op 5 oktober 2024 10:51]

Bor Coördinator Frontpage Admins / FP Powermod @sOid5 oktober 2024 12:31
Huidige best practice is om dat _niet_ heel regelmatig te doen. Uiteraard wel bij (het vermoeden van) een gecompromitteerd wachtwoord.
Dat is wel een beetje kort door de bocht. Wanneer jij zelf passwords roteert en deze vervangt door unieke sterke veilige wachtwoorden is dat nog altijd veiliger dan wanneer je dit niet doet. De NIST omschrijft meer de regels voor systemen rond wachtwoord en authenticatie eisen. Daar geldt dat het wordt afgeraden mensen vaak te verplichten een wachtwoord te wijzigen. Redenen zijn o.a. omdat mensen het anders opschrijven, een minimale aanpassing doen etc.

De NIST guidelines zijn echter geen set waaruit je kan cherry picken. Je kan het zien als een soort totaal pakket met aanbevelingen en eisen. Zo moet je bijvoorbeeld wanneer je een wachtwoord niet periodiek laat verlopen wel weten wanneer een account mogelijk gecompromitteerd is. Bij een daadwerkelijke gelekt wachtwoord ben je eigenlijk al te laat. Dat vraagt om een risico gebaseerde aanpak en detectie van afwijkend gedrag etc. Op basis daarvan verplicht je dan alsnog een (secure) wachtwoord wijziging.

Heel veel systemen (en helaas organisaties) zijn hiertoe niet in staat. Vrijwillig zelf aanpassen is weer een heel ander scenario. Houdt hierbij ook rekening met het feit dat heel veel mensen helemaal niet in staat zijn een goed lang en sterk wachtwoord te kiezen of simpelweg niet weten of begrijpen hoe dit werkt. Hierdoor kan er zeker een use case zijn voor het wel periodiek wijzigen van wachtwoorden.

[Reactie gewijzigd door Bor op 5 oktober 2024 12:33]

Zou het een goed idee zijn om niet meer zelf je wachtwoorden te kiezen, maar bv (ik heb als main een iMac) er een te laten genereren?
Waarom zou je ze zelf kiezen? Vrijwel elke Password manager heeft een ingebouwde generator.
Wij gebruiken die ja, maar niet iedereen.

Moet ook heel werlijk zijn dat sommige apps en websites er ook niet goed mee omgaan en niet de juiste velden hebben om autosave goed te doen. Merk dat op m’n telefoon nog wel eens. Dan slaat ie alleen het losse wachtwoord op omdat het formulier niet de gebruikersnaam ook ergens heeft.
Het beste zijn passkeys. Helemaal geen gezeik meer met wachtwoorden. Steeds meer applicaties ondersteunen het
Zou het een goed idee zijn om (...) er een te laten genereren?
Maar als het echt een nieuw random wachtwoord is,
Je gaat niet zelf willekeurige wachtwoorden bedenken. Gemak dient de mens.

[Reactie gewijzigd door The Zep Man op 5 oktober 2024 12:06]

Het is gewoon niet praktisch, ik heb honderden wachtwoorden in m'n password manager, die ga ik echt niet allemaal periodiek veranderen..
Ik heb er ook honderden wachtwoorden staan, maar vervang regelmatig wachtwoorden. Niet allemaal tegelijk, maar enkelen van sites die ik veel gebruik, of juist lange tijd niet meer op ben geweest... Eens per week of zo doe ik er dan een paar, in de hoop uiteindelijk nergens meer (te) oude wachtwoorden te hebben.

[Reactie gewijzigd door CH4OS op 5 oktober 2024 13:02]

API's om dat via een password manager automatisch te kunnen doen lijkt me tof, maar tegelijkertijd, misbruik wordt dan weer veel makkelijker? :( Moet je weer gaan rate limiten, blokkeren.
Zelf maak ik altijd een selectie op basis van risico.
Wat voor gegevens heeft een site van je, en welk risico loop je als er op het account wordt ingebroken.
Voor mij persoonlijk is het aantal sites waarbij ik een reden zie om regelmatig het wachtwoord te veranderen redelijk klein.
(Email, Betaaldiensten, Nutsvoorzieningen, game accounts e.d.)
Ik heb gelukkig minder accounts, maar wijzig in ieder geval jaarlijks mijn mailadres en wachtwoord op elk account. In mijn wachtwoordmanager geef ik aan dat het gegenereerde wachtwoord met een jaar moeten verlopen. Bij het inloggen op het account zie ik dan na een jaar dat het wachtwoord is verlopen. Wijzigen is dan in de meeste gevallen een kleine moeite.
Daar zijn bijvoorbeeld Microsoft en NIST op terug aan het komen, al in de NIST Password Guidelines voor 2020, maar ook in 2024 weer (deels).

Zolang jij sterke (lange) wachtwoorden gebruikt en geen wachtwoorden hergebruikt, zit er weinig meerwaarde in het periodiek en preventief veranderen van een sterk en uniek wachtwoord, helemaal bij Lego.com.
Eigenlijk alleen nog bij een indication of compromise, maar daarbij was altijd al het advies: resetten!

Daarnaast, periodiek aanpassen voor average Joe betekend waarschijnlijk minder sterke, voorspelbare wachtwoorden. E.g. Zomer2024!, Zomer2025!, etc.


Ja maar! Wat als ze mijn hash bij Lego.com stelen? Dan is de impact al vele malen groter en maakt het niet meer uit welk wachtwoord je hebt/had. Mis je deze niet hergebruikt natuurlijk.
Ja maar! Wat als ik nu malware op mijn laptop heb en ze mijn wachtwoord stelen? Dan zullen ze waarschijnlijk eerder aan de haal gaan met je session cookies en ook hier is het kwaad al geschied, een preventieve periodieke (6-12maanden) reset zou puur toevallig zeer kort na compromise plaats moeten vinden wil het zinvol zijn.
Niet dat het mogelijk gelekte gegevens op gaat lossen... je kunt bij Lego 2FA aanzetten.
De code van deze "extra stap" krijg je vervolgens wel per e-mail. Geeft je misschien toch nog een extra gevoel van veiligheid :)
Dat is wel goed voorbereid dan. Ze hebben dan eerder ondekt dat ze toegang hadden, en dan aan de slag gegaan om een passende scam te ontwikkelen.
Mooi ondersteunend beeldmateriaal door een AI laten genereren. Lijkt me aardig wat moeite in gaan voor die paar crypto munten
Nou moeite, ai heeft de moeite gedaan
Hier zit vermoedelijk wel iets meer werk in dan even 'Hey maak een een Lego Coin banner', de meest gedetailleerde AI gegenereerde plaatjes die je online ziet zijn (vaak) nabewerkt in Photoshop of vergelijkbare software en zit rustig uren werk in voordat een 'perfect' resultaat eruit komt, tekst wordt bijvoorbeeld ook meestal achteraf toegevoegd omdat AI doorgaans een belabberde output geeft, al is dat wel een stuk verbeterd.

Hoewel ik zonder AI absoluut niet dezelfde resultaten kan behalen met mijn belabberde tekenkunsten, is het nou ook niet zo dat het perfecte resultaat binnen een minuut geregeld is. Het zijn vaak de kleine details die misgaan in het genereren van een foto en daar kan je een hoop tijd aan kwijt zijn om dat te fiksen.

Mensen vergeten veelal dat AI in deze vooralsnog enkel een hulpmiddel is, en niet een tool die al het werk van je kan overnemen, zeker als je iets heel specifieks wilt hebben.

[Reactie gewijzigd door Verwijderd op 5 oktober 2024 11:15]

Op basis van het plaatje zelf, hier is er eentje met hogere resolutie, kan ik toch niet me voorstellen dat ze veel moeite hebben gedaan om het goed te laten lijken. Alleen de twee grote lego iconen lijken goed, er zijn geen gezichten op de lego poppetjes, de andere twee zijn scheef en de letters zien er slecht uit, de coins zelf zijn inconsistent, de ronde knopjes op de lego zijn echt schots en scheef en ik kan nog wel even doorgaan. Deze afbeelding lijkt me toch echt AI generated zonder nawerk voordit geplaatst werd door de hackers.

[Reactie gewijzigd door separhim op 5 oktober 2024 12:42]

Op basis van het plaatje zelf, hier is er eentje met hogere resolutie, kan ik toch niet me voorstellen dat ze veel moeite hebben gedaan om het goed te laten lijken.
Het ziet er goed genoeg uit, wij weten dat het een scam is, een willekeurige Jan van 47 jaar oud uit Lutjebroek bezoekt de pagina en gaat niet de hele foto napluizen op 'fouten' zoals jij hier doet in je relaas.
Alleen de twee grote lego iconen lijken goed...

...Deze afbeelding lijkt me toch echt AI generated zonder nawerk voordit geplaatst werd door de hackers. ..
Front and center, het 'focal point' is goed en daarmee trek je de aandacht, de rest valt het gros van de mensheid niet op dat het niet klopt. Dat is ook het stukje wat ze vermoedelijk in Photoshop o.i.d. hebben bewerkt, met vermoedelijk nog wat toegevoegde Blur om het 'artistiek' te laten lijken.

Net als dat er nog genoeg mensen zijn die de deur open doen voor 'bankmedewerkers' of de bankpas erbij pakken om de Microsoft support telefonist te betalen om de virussen weg te halen van diens computer, zullen er genoeg mensen zijn die voor deze 'bagger output' zullen vallen.

Maar het moraal van het verhaal blijft, en dat is hetgeen wat ik met mijn post wilde duidelijk maken is dat je niet AI iets kan vragen en het resultaat dat je krijgt direct tip-top perfect is. Men denkt dat het 'makkelijk' is maar om een perfect plaatje te maken ben je rustig een uur of uren verder, eerst door constant te genereren en vervolgens de details uitwerken in Photoshop o.i.d..
Ik ben op de hoogte dat veel AI gegeneerde afbeeldingen niet echt goed zijn en werk nodig hebben om geloofwaardig te zijn, maar ik denk dat jouw suggestie dat er veel werk heeft gezeten in het aanpassen van deze afbeelding niet correct is. Deze afbeelding is duidelijk nog vol met fouten die een persoon snel kan oppakken als ze ook maar een beetje aandacht besteden daaraan. Daarnaast zie je vaak dat AI afbeeldingen vaak als redelijke focal point kunnen maken en ik vind deze focal point nou niet echt heel goed naar mijn inzicht, de coin zelf heeft een rare rand die niet doorloopt en ook niet terug komt in andere coins die afgebeeld zijn, de lijnen in rondom focal point zijn ook niet echt recht. Ik wil meer zeggen dat als iemand hier moeite in gestoken heeft om het beter te laten zien, dat ze wel heel slecht zijn daarin, en dat ik denk dat het waarschijnlijk is dat ze minimale aanpassingen hebben gedaan zoals tweemaal het Lego logo in de voorgrond plaatsen.
maar ik denk dat jouw suggestie dat er veel werk heeft gezeten in het aanpassen van deze afbeelding niet correct is.
Dan heb je mijn reactie niet goed gelezen want er staat toch echt duidelijk:
Hier zit vermoedelijk wel iets meer werk in dan even...
Daarmee wil ik dus stellen dat het vermoedelijk niet een regeltje tekst in AI generator plaatsen is geweest en klaar is Kees. Maar er vast nog wel wat naslagwerk is geweest, daarbij weten we ook niet op basis van dit plaatje of dit de eerste generatie is of tientallen/honderden generaties verder is, wat uiteraard per generatie extra tijd kost.
Daarnaast zie je vaak dat AI afbeeldingen vaak als redelijke focal point kunnen maken en ik vind deze focal point nou niet echt heel goed naar mijn inzicht, de coin zelf heeft een rare rand die niet doorloopt en ook niet terug komt in andere coins die afgebeeld zijn, de lijnen in rondom focal point zijn ook niet echt recht. Ik wil meer zeggen dat als iemand hier moeite in gestoken heeft om het beter te laten zien, dat ze wel heel slecht zijn daarin, en dat ik denk dat het waarschijnlijk is dat ze minimale aanpassingen hebben gedaan zoals tweemaal het Lego logo in de voorgrond plaatsen.
Je begrijpt denk ik ook wel dat dit mensen zijn die even snel iets willen verdienen en niet professionele artiesten zijn die in opdracht van Lego een banner maken, het resultaat moest goed genoeg zijn en dat is het.

Want ook zij weten dat deze banner binnen een minuut kan opvallen bij de beheerders en direct offline gehaald kan worden voordat ze überhaupt iemand aan de haak hebben geslagen. Dan is het zonde van de tijd geweest als ze een tiental uren bezig zijn geweest om het perfecte plaatje te maken.

De focus is niet 'perfecte plaatje', de focus in deze is 'goed genoeg', waarbij Jan uit mijn eerdere voorbeeld denkt dat dit legitiem is en mijn vermoeden is dat het dit soort mensen niet zo gauw zou opvallen. Ook gaan zijn niet direct vanuit dat op de officiële site van een merk kwaadwilligen op de voorpagina iets kunnen uitvoeren.

[Reactie gewijzigd door Verwijderd op 5 oktober 2024 13:29]

mwoah denk dat de lego homepage aardig wat traffic vangt.
Blijkbaar kreeg je na het klikken op de banner een vrij complexe site te zien. Kleine kans dat mensen hier op in gegaan zijn: YouTube: WARNING: LEGO.com got HACKED!
Het lijkt gewoon Uniswap te zijn, wat een volkomen legitieme crypto swap site is. Het enige niet legitieme is dat de munt waarschijnlijk gerugpulled wordt, of de scammer de enige liquidity pool aanbied oid
Vrijwel alle sites gebruiken dezelfde 3 screenshots. Wat dat betreft ben ik toch wat sceptisch.
Aan de andere kant, het zou in lijn kunnen liggen met de Adobe Commerence hack. Gezien die nu ook recentelijk weer in het nieuws komt.
hmmm,

Je moet in mijn opinie toch een extra niveau eikel zijn als je site's als LEGO zit te hacken om dan crypto malware te installeren op wat toch een groot aantal PC's van jonge gebruikers is (en oude nerds/geeks :) )

maarja, er is ook een hele groep mensen die specifiek ouderen targetten om te scammen dus tja :(


Wij doen gelukkig zelf niet mee, deze week weer gehad dat na een herstelling bij een oude vrouw ze maar geld bleef leggen en vroeg of het genoeg was !!
We hebben gewoon genomen wat de rekening was en de dochter gecontacteerd dat ze best beetje het geldbeheer overneemt, we hebben dit in het verleden nog al eens gehad en eens laten leggen om te zien hoe ver ze zou gaan, bij 1000+ euro vroeg ze of het nog niet genoeg was !!!! (dat was wel de periode toen de euro er nog maar net was, die waren nog belgisch geld gewoon, maar toch.
Doen ze al die moeite maar vergeten wel het logo van Fortnite af te halen van de banner 8)7
Pijnlijk.
Benieuwd of en zo ja hoeveel mensen erin getrapt zijn.
Gelijk heb je, hoeveel dagen heb jij alle mogelijke hacks voorkomen?

Op dit item kan niet meer gereageerd worden.