Hackers verzamelen betaalgegevens en wachtwoorden van 4.600 websites

Hackers zouden hebben ingebroken bij analytics-dienst Picreel en het open source-project Alpaca Forms. De hackers zouden JavaScript-bestanden op de infrastructuur van de twee bedrijven hebben aangepast om malafide code toe te voegen aan ruim 4.600 websites.

De aanval is nog altijd actief, stellen beveiligingsonderzoekers tegenover ZDNet. Ook zijn de malafide scripts nog altijd live. Beide aanvallen werden ontdekt door Willem de Groot, oprichter van Sanguine Security, en zijn bevestigd door diverse andere beveiligingsonderzoekers.

Picreel is een analytics-dienst waarmee eigenaren van websites kunnen vastleggen wat gebruikers doen en hoe ze omgaan met een website, om zo gedragspatronen te analyseren en succespercentages te verhogen. Klanten van Picreel moeten een stuk JavaScript-code toevoegen aan hun website, om de dienst zijn werk te laten doen. Dat is het script dat nu gehackt is en waar malafide code aan toe is gevoegd.

Alpaca Forms is een open source-project voor het bouwen van formulieren op het internet, ontwikkeld door Cloud CMS. Dat bedrijf biedt nog altijd een gratis content delivery network (CDN) dienst voor het project, wat nu gehackt is. De cybercriminelen hebben één van de Alpaca Form scripts aan weten te passen.

Duizenden websites

Hoe de hackers precies binnen wisten te komen in Picreel en de Alpaca Forms CDN is onduidelijk. De Groot stelt echter wel dat het lijkt alsof de hacks door één en dezelfde groep zijn uitgevoerd.

De malafide code logt alle content die gebruikers in velden in een formulier invullen en verstuurt de informatie naar een server in Panama. Daarbij gaat het ook om data die gebruikers invullen bij betalingspagina’s, contactformulieren en inlogvelden. De malafide code in het Picreel script is op 1.249 websites aangetroffen. De code van de Alpaca Forms is op 3.435 domeinen waargenomen.

Cloud CMS heeft inmiddels actie ondernomen en de CDN die de aangetaste scripts aanbood offline gehaald. Het bedrijf onderzoekt het incident nu en zegt dat er geen “hack of beveiligingsprobleem met Cloud CMS, zijn klanten of zijn producten is geweest”. Er is ook geen bewijs om dit te suggereren.