Тысячи онлайн-магазинов передают данные карт клиентов на серверы злоумышленников, расположенные главным образом в России, обнаружил нидерландский специалист по безопасности Виллем де Гроот. Изготовленные с помощью этих данных карты продаются в интернете примерно по $30 за штуку. Сами магазины об идущей месяцами масштабной утечке не подозревали. Узнав о ней от Виллема, большая часть ничего не сделала, а некоторые пригрозили иском.
Изучив сайты 255 тысяч интернет-магазинов, Виллем де Гроот обнаружил на почти 6 тысячах скрипты, с помощью которых злоумышленники без ведома владельцев получают данные карт клиентов магазинов. Скрипты обнаружены, к примеру, на сайтах Бьорк, производителя обуви Converse, дилера Ауди в ЮАР. Большинство серверов, куда идут данные, находятся в РФ.
В прошлом году де Гроот уже нашел около 3 тысяч зараженных магазинов. Свыше 700 магазинов по-прежнему содержат тот же вредоносный JavaScript-код, следовательно, данные карт можно воровать месяцами. Виллем сообщал представителям магазинов об уязвимостях. Ему обычно отвечали, что им все равно, платежи проходят через сторонний сервис, уверяли, что магазин полностью безопасен, а это лишь ошибка в JavaScript. Часть магазинов была уверена в безопасности, поскольку пользуется протоколом https.
Виллем де Гроот выложил полный список скомпрометированных магазинов на сервис GitHub, которым пользуется большинство программистов. Вскоре он был удален без объяснения причин. Представители нескольких магазинов пригрозили исследователю исками. Тогда он выложил список на аналогичном сервисе GitLab. Оттуда тоже его почти сразу удалили с пояснением, что публикация списка уязвимых систем противоречит правилам сервиса, однако через некоторое время вернули, решив, что жертвы – не только владельцы, но и клиенты магазинов. Первые несут ответственность перед вторыми и должны исправить ошибки.
Первая версия списка опубликована 11 октября. В ней 5925 магазинов. Обновленный 17 октября список содержит 5290 магазинов, то есть код устранил лишь один из 11 магазинов.