Het mysterieuze geval van de gehackte productwebsite met iframe

| AE 6819 | Ondernemingsvrijheid, Security | 13 reacties

hacker-iframeDe eerste keer dat een iframe in een vonnis staat, volgens mij. En een redelijk bizarre context ook: de website van een leverancier wordt gehackt om middels een stiekem iframe productbeschrijvingen toe te voegen die ze op grond van een recent vonnis nu net niet meer mochten verkopen. Wát is hier gebeurd?

Rapoo en Gembird verkopen onder meer toetsenborden. Rapoo had een Gemeenschapsmodelrecht op een aantal modellen, en in een eerder vonnis was geoordeeld dat Gembird daar inbreuk op maakte. (Een modelrecht is een soort van auteursrecht op industriële vormgeving en productuiterlijk.)

Die inbreukmakende toetsenborden mocht Gembird dus niet meer aanbieden. Toch doken er productvermeldingen van die toetsenborden op op de website van Gembird, waarop Rapoo naar de rechter stapte en de dwangsommen eiste die ze op grond van dat eerdere vonnis mocht opeisen.

Gembird was daar een tikje door verrast denk ik, want zij hadden keurig het vinkje “Publiceren op website” van die productinformatie weggehaald in hun CMS. Maar screenshots van Rapoo lieten duidelijk zien dat die informatie wel degelijk gewoon online stond. Buitengewoon raar dus.

Uit twee onafhankelijke onderzoeken bleek echter dat Gembird het slachtoffer is geworden van een hack. De betreffende productpagina’s waren voorzien van een Javascript (dat niet werkte) en een iframe die vanaf een externe locatie informatie ophaalde. En daarmee was precies de productinformatie online die van het eerdere vonnis niet getoond mocht worden.

Een hack door de wederpartij? Je zou het haast denken, maar in de iframes was nog de tekst “Hacked by Dark Knight Sparda – BD Black Hat” terug te vinden, en wie daarop googelt ziet diverse gehackte pagina’s van anderen. Dus kennelijk is er echt zo’n club actief.

In het vonnis wordt nog geruzied over al dan niet vervalste screenshots, omdat er twee verschillende URL’s werden getoond bij dezelfde webpagina. Maar de verrassend cluevolle rechter snapt hoe het zit:

Als de muis op de hoofdpagina van Gembird Europe staat bij het in beeld brengen van de bronweergave, wordt de website van Gembird Europe weergegeven als bron. Als de muis daarentegen in het frame staat waarvan de inhoud is gehackt, wordt een bron weergegeven die verwijst naar de server van de hacker. Het verschil kan volgens de deskundige van Gembird Europe dus verklaard worden door een andere positie van de muis op het moment dat de schermafbeeldingen werden gemaakt.

Op basis hiervan concludeert de rechter dan ook dat het duidelijk is dat Gembird gehackt is en niet zelf die productinformatie online heeft gezet. Maar had Gembird niet de gehele pagina offline moeten halen in plaats van ze slechts op concept te zetten in haar CMS? Dat is toch een stukje slordig, aldus Rapoo: er is dan een kans dat een hacker die pagina terugzet met al dan niet extra iframes. Maar dat overtuigt de rechter niet:

Toen Gembird Europe er na het Vonnis voor zorgde dat de informatie niet langer op haar website te zien was, hoefde zij er niet op bedacht te zijn dat de op de server nog aanwezige informatie door een hacker gebruikt zou worden op de wijze als geschied. Gembird Europe heeft ook gemotiveerd gesteld dat zij beschikt over een voldoende beveiligd automatiseringssysteem, hetgeen Rapoo Shenzen heeft betwist, doch zonder deugdelijke onderbouwing.

Ook de stelling dat Gembird heeft getreuzeld wordt niet gevolgd. Nadat Gembird de hack had ontdekt, heeft ze direct een forensisch onderzoeker ingeschakeld en die had nu eenmaal wat tijd nodig. Plus, het is vrij logisch dat Gembird geen bestellingen zou krijgen op basis van die hackframes. En aangezien het verbod gaat over verkoop, is hiermee dan ook niet het verbod overtreden.

Hoogst merkwaardig. Ik kan uit het vonnis maar half halen wat dat iframe nu precies deed. Ik durf eerlijk gezegd niet goed te zoeken naar andere gehackte pagina’s want ik heb geen zin in een Dark Knight Sparda in mijn blog. Wie helpt?

Arnoud

Deel dit artikel

  1. Gembird was daar een tikje door verrast denk ik, want zij hadden keurig het vinkje “Publiceren op website” van die productinformatie weggehaald in hun CMS. Maar screenshots van Rapoo lieten duidelijk zien dat die informatie wel degelijk gewoon online stond. Buitengewoon raar dus.

    Bij sommige CMS software betekent “Publiceren op website” alleen maar dat het in het menu wordt opgenomen. Zelf als je dat vinkje uitzet, is de pagina nog beschikbaar als je het exacte url weet. En juist google weet dat url nog….

  2. Gembird Europe […] onmiddellijk na het Vonnis bij de betreffende artikelbestanden in haar systeem het vinkje “website” heeft uitgezet.
    Volgens mij is dit niet waar. Het Vonnis is namelijk gedateerd 30 juli 2013. Maar The Wayback Machine van het Internet Archive heeft op 25 augustus 2013 een van de P4-producten geindexeerd:

    https://web.archive.org/web/20130825194348/http://www.gembird.nl/item.aspx?id=7583

    Bekijk deze pagina goed, en je ziet dat het om het model P4 uit de Phoenix-serie gaat. De meeste afbeeldingen zijn niet geindexeerd door de Wayback Machine, maar onderaan een hi-res afbeelding van het P4-product wel.

    Overigens is in de Wayback-kopie van de pagina nergens een iframe te vinden. Deze pagina valt dus niet binnen de hacktheorie.

  3. Okay, volgen van links in deze post is op eigen risico!

    Ik vond deze Facebook post uit 2013 die lijkt te suggereren dat de hackersgroep uit Bangladesh komt en kennelijk sites aan het hacken is als protest tegen wat er in Gaza gebeurt. Mogelijk dat ze daarbij extra websites infecteren om later ook over te nemen. De iframe geeft hen alvast enige toegang tot de website. En door in de iframe inhoud van de originele website te plaatsen valt de hack minder snel op, natuurlijk. Interessant is ook dat er mogelijk misbruik wordt gemaakt van de website van doridro.com, kennelijk een zanger in Bangladesh. Of deze site is er aktief bij betrokken. Er is een aparte pagina op die site waar men kan inloggen en kennelijk plaatjes kan uploaden om zo vanaf de gehackte site te kunnen gebruiken. Ik heb het idee dat er via deze site al meer dan 50.000 plaatjes zijn geupload en dat de hackers hier recentelijk toegang toe hebben verkregen. Deze website is anoniem geregistreerd via GoDaddy en lijkt gehost te worden vanuit Frankrijk. (Mogelijk omdat ze in Bangladesh geen host beschikbaar hebben.)

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS