黑客劫道千万用户 新蛋第3次冲击美股遇事故

更多全球网络安全资讯尽在E安全官网www.easyaq.com

题记：如果不是这次黑客事件，不少人都不知道新蛋为何物。新蛋是电商先驱之一，在美国成立于2001年，创始人美籍华人张法俊。1999年，中国电商第一家8848成立，2003年淘宝网创立，2004年京东进军电商领域。全美最大的电商亚马逊则在1995年就已经开始在网上卖书，它也是全球最早出现的电商之一，04年，亚马逊收购中国卓越网，并逐渐演化为亚马逊中国。新蛋可能是最早利用粉丝经济吸取第一桶金的，它最初主要销售电脑及相关电子设备，吸引了不少游戏玩家聚集，那年头自己攒机DIY是主流。到2004年，新蛋中国逐步复制美国模式，开始电商。良好的开端，却未必一定会产生好看的成绩单，中国新蛋一直表现平平，创始人在中国区的用人问题上，累犯错误，也因此几次错失在中国互联网浪潮的大好发展机会。2009年，新蛋第一次IPO未果，2011年IPO未果。近日，9月13日，已经易手控股权的新蛋由新东家联络互动宣布，再次启动赴美IPO计划，即第三次。然而，本周，新蛋网站被安全公司爆料，称其被入侵，黑客用15行代码，精心潜伏于新蛋支付页面，已达一月之久，即凡是在这一月内使用过新蛋的用户，信用卡数据或被窃，新蛋用户据称有3600万，这次事件给新蛋IPO再次蒙上阴影。

网络安全公司 RiskIQ 和 Volexity 分别发布报告披露，全美第二大 IT/CE 电商平台Newegg（新蛋）遭遇 MageCart 黑客攻击，大量用户的信用卡信息被盗，涉及用户数量可能数千万。

这两家网络安全公司指出，黑客将 MageCart 脚本注入到 Newegg 网站超过一个月之久，秘密窃取客户的支付信息，至于受影响的用户量，目前仍在调查当中。

关于美国电商平台 Newegg（新蛋）

成立于2001年的新蛋网，业务范围已覆盖北美、中国、英国、澳洲、印度、新加坡等全球多个国家和地区。经过几年的发展，新蛋网的规模、销售能力以及营业能力已经具备了 IPO 的资格，目前拥有超过3600万用户，新蛋的买家有着很强的“极客”属性，同时其用户群体忠诚度也很高。

早已跌出电商第一梯队的新蛋（Newegg），近日迈步资本市场，它曾经的辉煌媲美当前的阿里和京东。

9月13日，A股上市公司召开2018年第三次临时股东大会，最终会议审议通过了《关于公司所属企业境外上市方案的议案》，新蛋网正式开启了其美国 IPO 的征程。有报道认为，这家电商有利于“中国制造”的输出。

此次黑客入侵事件，或导致新蛋网推迟上市计划。

事件经过及影响

据 RiskIQ 和 Volexity 这两家网络安全公司透露，黑客在2018年8月13日创建了名为 neweggstats.com 的域名，用来收集从 Newegg 网站窃取得来的信用卡数据，并在 Newegg 的支付页面（可通过手机和桌面设备访问）注入了15行代码（MageCart脚本），并在此停留了了一个多月（8月14日~9月18日）。黑客将该脚本置于最后一个结算页面，以窃取信用卡信息，然后将窃取的数据发送至黑客控制的服务器。

Newegg 是美国家喻户晓的 IT 电商平台，月访客量约为5000万，由于 MageCart 脚本在该网站的停留时间超过1个月，其带来的影响范围或会相当大。据报道，在代码植入的这段时间里，完成交易用户数字目前尚不清楚。

MageCart 窃取用户信用卡数据的详细过程

用户在 Newegg 购买商品会输入收货信息和付款信息，MageCart 在结算的第二个页面时，Newegg 会收集用户的支付信息。

当该页面加载时，MageCart 脚本会将自己绑定到用户输入付款信息后点击的按钮。

当用户点击该按钮时，MageCart 脚本将获取表单的内容，将其转换为 JSON，然后将其上传到 https://neweggstats.com/GlobalData/ 页面。

但 neweggstats.com 并不是 Newegg的域名，这是攻击者收集用户信用卡信息的页面。

MageCart 黑客组织越发猖狂

Magecart 是一个专门从网站上的不安全支付表单中窃取信用卡数据的黑客组织。

像 Magecart 这类数据窃取脚本的操作手法类似于银行卡读卡器（不法分子有时将其插入ATM机，提取银行卡信息，并将其传回到黑客手中）。此类攻击被称为“跨站点脚本攻击”，攻击者会利用支付处理页面的代码缺陷，而无需入侵目标网站的网络或服务器。

在过去，这类脚本主要针对第三方支付处理器，但在英国航空最近遭遇的攻击事件中，攻击者根据该公司网站的设计方式适当修改了脚本。

“安全”的网站不一定安全

据 RiskIQ 的说法，这表明 Magecart 黑客组织的能力在提升，试图摆脱 “通用脚本”的模式。为了识别攻击，RiskIQ 分析了攻击英国航空网站的独特脚本，发现攻击者在英国航空公司的网站插入了22行代码，记录用户信息后将其传送至攻击者的服务器。更狡猾的是，攻击者为这台服务器购买了 SSL 证书，从而为非法活动套上看似合法的外衣，因为有合法证书就意味着启用了 Web 加密，且可保护数据。

研究人员指出，攻击者在 Newegg 这起案例中也采用了此类巧妙的方法进行伪装。

Newegg向一个月内发出购物的客户发送的电子邮件

针对MageCart这样的恶意脚本，怎么防？

黑客越来越多地采用 MageCart 之类的脚本窃取信用卡信息，尤其此类脚本通常会采取各种方式达成目的，因为防范起来极其困难。2018年尽管如此，Klijnsma 仍提供了配置付款表单和提交流程的方法，如使表单随机化，输入字段名称/ID，以及在处理结算时在服务器上使用会话信息将字段名称/ID映射回来.

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读：

• 航空公司38万用户的支付卡信息被盗
  

• 最危险的间谍软件Pegasus现身45个国家
  

• 全球4万家酒店面临“万能房卡”威胁
  

• 数百万“土豪”银行卡信息或泄露
  

• 2018年【国家网络安全宣传周】之我有一个超赞的女朋友系列
  

• 2018年【国家网络安全宣传周】启动：高峰论坛看未来趋势！
  

• 最危险的间谍软件Pegasus现身45个国家
  

▼点击“阅读原文” 查看更多精彩内容