Procter & Gamble: First Aid Beauty-Shop stiehlt Zahlungsdaten

[English]Der Online-Shop 'First Aid Beauty' von Procter & Gamble ist wohl seit Mai 2019,  kompromittiert. Ein MageCart-Script fischte bis vor einigen Stunden die Zahlungsdaten, zumindest für US-Kunden, ab.

Bleeping Computer berichtet hier, dass Hacker im Mai einen E-Skimmer im Procter & Gamble Webshop First Aid Beauty platzieren konnten. Konkret wurden nur Kartendaten von Opfern aus den USA durch das MageCart-Script abgefischt. Kammt ein Käufer von außerhalb der USA oder arbeitet er mit dem Betriebssystem Linux, bleibt das Skimming-Skript inaktiv. Es wird vermutet, dass dies als Schutz gegen gegen Sicherheitsforscher genutzt werden soll. Erst seit wenigen Stunden ist der Shop, auf Grund der Berichterstattung, offline.

Die Seite First Aid Beauty wurde übrigens in 2019 von Procter & Gamble für 250 Millionen Dollar erworben.

(Quelle: Pexels Markus Spiske CC0 Lizenz)

P&G reagiert eine Woche lang nicht

Und jetzt kommen wir zur richtig schmutzigen Seite der Geschichte. Dieses Script war bis vor einigen Tagen aktiv und stahl die Kartendaten der Kunden. Willem de Groot, ein Sicherheitsforscher bei Sanguine Security, der sich mit dem Abschöpfen von Zahlungsdaten und Betrug bei Online-Angeboten befasst, fand heraus, dass der First Aid Beauty-Online-Shop seit dem 5. Mai 2019 mit dem bösartigen Skript infiziert war.

I reported the breach to their executives and support team last week, but have yet to receive a reply. FirstAidBeauty was bought last year for $250M. P&G decided to not integrate their new acquisition, which they may regret now. https://t.co/9MRTsHXauJ

— Willem de Groot (@gwillem) October 25, 2019

Willem de Groot kontaktierte vor etwa einer Woche die P&G Unternehmensführung sowie das Support-Team und meldete die Infektion (siehe obiger Tweet). Konkret gibt der Sicherheitsforscher gegenüber Bleeping Computer an, dass der erste Kontaktversuch Sonntag erfolgte. Diese Woche gab es mehrere zusätzliche Versuche zur Kontaktaufnahmen. Eine Antwort der Verantwortlichen blieb aus, und das Skript war bis vor einigen Stunden weiterhin aktiv. Die Meldung war offenbar versandet.

(First Aid Beauty-Seite)

Aktuell zeigt die Seite www.firstaidbeauty.com allerdings eine 404-Seite mit dem Hinweis, dass man sich 'auf Kunden vorbereite und bald wieder da sei'. Der Shop wurde also deaktiviert. Erst nachdem Willem de Groot Bleeping Computer kontaktierte und diese einen Artikel zum Thema veröffentlichten, ist ein Verantwortlicher aufgewacht, und der Shop wurde offline genommen. Bleeping Computer erhielt von P&G am späteren Nachmittag des 25. Oktober 2019 (US-Ostküstenzeit) folgenden Kommentar:

"Consumer trust is fundamental to us, and we take data privacy very seriously. As soon as we learned about the compromise of the First Aid Beauty site, we moved quickly to take the site down and minimize the impact to our consumers. We are currently investigating the source of the malware and working to identify and notify those consumers who might have been impacted to ensure we provide them the necessary support."

Sobald man von dem Hack erfahren habe, sei der Shop samt Webseite offline genommen worden. Aktuell untersuche mal den Vorfall und versuche die betroffenen Kunden zu identifizieren.

First Aid Beauty verwendet die Magento E-Commerce-Plattform, die immer wieder durch Sicherheitslücken auffällt. Anfang Oktober 2019 wurde die Software erneut aktualisiert, um 56 Sicherheitsprobleme zu beheben. Ein Problem wurde mit dem Schweregrad von 10 (höchster Wert) eingestuft, während 11 andere Schwachstellen eine Schweregradbewertung von 9,1 erhielten.