Het mysterieuze geval van de gehackte productwebsite met iframe

hacker-iframeDe eerste keer dat een iframe in een vonnis staat, volgens mij. En een redelijk bizarre context ook: de website van een leverancier wordt gehackt om middels een stiekem iframe productbeschrijvingen toe te voegen die ze op grond van een recent vonnis nu net niet meer mochten verkopen. Wát is hier gebeurd?

Rapoo en Gembird verkopen onder meer toetsenborden. Rapoo had een Gemeenschapsmodelrecht op een aantal modellen, en in een eerder vonnis was geoordeeld dat Gembird daar inbreuk op maakte. (Een modelrecht is een soort van auteursrecht op industriële vormgeving en productuiterlijk.)

Die inbreukmakende toetsenborden mocht Gembird dus niet meer aanbieden. Toch doken er productvermeldingen van die toetsenborden op op de website van Gembird, waarop Rapoo naar de rechter stapte en de dwangsommen eiste die ze op grond van dat eerdere vonnis mocht opeisen.

Gembird was daar een tikje door verrast denk ik, want zij hadden keurig het vinkje “Publiceren op website” van die productinformatie weggehaald in hun CMS. Maar screenshots van Rapoo lieten duidelijk zien dat die informatie wel degelijk gewoon online stond. Buitengewoon raar dus.

Uit twee onafhankelijke onderzoeken bleek echter dat Gembird het slachtoffer is geworden van een hack. De betreffende productpagina’s waren voorzien van een Javascript (dat niet werkte) en een iframe die vanaf een externe locatie informatie ophaalde. En daarmee was precies de productinformatie online die van het eerdere vonnis niet getoond mocht worden.

Een hack door de wederpartij? Je zou het haast denken, maar in de iframes was nog de tekst “Hacked by Dark Knight Sparda – BD Black Hat” terug te vinden, en wie daarop googelt ziet diverse gehackte pagina’s van anderen. Dus kennelijk is er echt zo’n club actief.

In het vonnis wordt nog geruzied over al dan niet vervalste screenshots, omdat er twee verschillende URL’s werden getoond bij dezelfde webpagina. Maar de verrassend cluevolle rechter snapt hoe het zit:

Als de muis op de hoofdpagina van Gembird Europe staat bij het in beeld brengen van de bronweergave, wordt de website van Gembird Europe weergegeven als bron. Als de muis daarentegen in het frame staat waarvan de inhoud is gehackt, wordt een bron weergegeven die verwijst naar de server van de hacker. Het verschil kan volgens de deskundige van Gembird Europe dus verklaard worden door een andere positie van de muis op het moment dat de schermafbeeldingen werden gemaakt.

Op basis hiervan concludeert de rechter dan ook dat het duidelijk is dat Gembird gehackt is en niet zelf die productinformatie online heeft gezet. Maar had Gembird niet de gehele pagina offline moeten halen in plaats van ze slechts op concept te zetten in haar CMS? Dat is toch een stukje slordig, aldus Rapoo: er is dan een kans dat een hacker die pagina terugzet met al dan niet extra iframes. Maar dat overtuigt de rechter niet:

Toen Gembird Europe er na het Vonnis voor zorgde dat de informatie niet langer op haar website te zien was, hoefde zij er niet op bedacht te zijn dat de op de server nog aanwezige informatie door een hacker gebruikt zou worden op de wijze als geschied. Gembird Europe heeft ook gemotiveerd gesteld dat zij beschikt over een voldoende beveiligd automatiseringssysteem, hetgeen Rapoo Shenzen heeft betwist, doch zonder deugdelijke onderbouwing.

Ook de stelling dat Gembird heeft getreuzeld wordt niet gevolgd. Nadat Gembird de hack had ontdekt, heeft ze direct een forensisch onderzoeker ingeschakeld en die had nu eenmaal wat tijd nodig. Plus, het is vrij logisch dat Gembird geen bestellingen zou krijgen op basis van die hackframes. En aangezien het verbod gaat over verkoop, is hiermee dan ook niet het verbod overtreden.

Hoogst merkwaardig. Ik kan uit het vonnis maar half halen wat dat iframe nu precies deed. Ik durf eerlijk gezegd niet goed te zoeken naar andere gehackte pagina’s want ik heb geen zin in een Dark Knight Sparda in mijn blog. Wie helpt?

Arnoud

13 reacties

  1. Gembird was daar een tikje door verrast denk ik, want zij hadden keurig het vinkje “Publiceren op website” van die productinformatie weggehaald in hun CMS. Maar screenshots van Rapoo lieten duidelijk zien dat die informatie wel degelijk gewoon online stond. Buitengewoon raar dus.

    Bij sommige CMS software betekent “Publiceren op website” alleen maar dat het in het menu wordt opgenomen. Zelf als je dat vinkje uitzet, is de pagina nog beschikbaar als je het exacte url weet. En juist google weet dat url nog….

    1. Ik heb een vermoeden dat de hacker via de website malware oid wilde verspreiden. Wat is dan makkelijker dan niet gepubliceerde paginas stiekem online zetten en daar je malware in verstoppen?

      Het slachtoffer zal deze paginas niet gauw controleren, want hij denkt dat ze offline zijn en via zoekmachines zijn ze vindbaar. De beste kans op zo langmogelijk online zijn met je kwaadaardige iframe.

      (Je zou de tekst kunnen lezen als dat de ‘verboden informatie’ in de iframe staat, maar het is waarschijnlijk andersom.)

  2. Gembird Europe […] onmiddellijk na het Vonnis bij de betreffende artikelbestanden in haar systeem het vinkje “website” heeft uitgezet.
    Volgens mij is dit niet waar. Het Vonnis is namelijk gedateerd 30 juli 2013. Maar The Wayback Machine van het Internet Archive heeft op 25 augustus 2013 een van de P4-producten geindexeerd:

    https://web.archive.org/web/20130825194348/http://www.gembird.nl/item.aspx?id=7583

    Bekijk deze pagina goed, en je ziet dat het om het model P4 uit de Phoenix-serie gaat. De meeste afbeeldingen zijn niet geindexeerd door de Wayback Machine, maar onderaan een hi-res afbeelding van het P4-product wel.

    Overigens is in de Wayback-kopie van de pagina nergens een iframe te vinden. Deze pagina valt dus niet binnen de hacktheorie.

      1. Ik zie geen reden om te twijfelen aan de datum. Die staat in de URL: 2013, augustus, 25, 19 uur 43 en 48 seconden. Mocht een pagina ge-harvest worden net op een datumgrens, zou de datum een beetje kunnen varieren. Maar het maakt voor onze discussie niet uit of het 24, 25 of 26 augustus was: het is lang na het vonnis bij de voorzieningsrechter, en lang voor de eventuele hack.

        Ik wil best geloven dat de Wayback Machine iframes van andere domeinen niet automatisch indexeert. Maar dan nog zou er een aanwijzing van het bestaan van een iframe moeten zijn in de HTML, en die zie ik niet.

        1. Wat je niet uit kan sluiten is dat hun CMS alleen alle verwijzingen naar het product heeft weggehaald. Het produkt zit dan nog wel in de database en als je naar de juiste controler navigeert en het juiste ID doorgeeft kan je de pagina nog steeds weergeven ondanks geen enkele link in de shop.

          En aangezien het handmatig invoeren van id om te kijken of je iets vindt volgens Arnoud hacken is … dat artikel geeft bij mij een foutmelding maar is wel te lezen op deze url: http://blog.iusmentis.com/2012/ … kan het bedrijf dan best gelijk hebben dat ze gehacked zijn.

          (Overigens in die voor mij niet meer te lezen comments op dat artikel geef ik al aan dat dit een voor mij ongewenste definitie van van hacken is. Ik blader op deze wijze al jaren door blogs e.d. heen, die je anders met een omweg via een hoofdpagina laten navigeren.)

          1. Zou kunnen. Maar in de klacht bij de rechtbank Den Haag wordt nu juist geklaagd dat men op een product zoekt met Google en direct op een productpagina terechtkomt. Het eventuele bestaan van interne referenties in de webshop staat in de procedure dus niet ter discussie.

      2. Hij zal juist genoeg zijn. De variatie zit hem in de tijdzones. De crawler van Archive.org neemt gewoon de juiste datum/tijd op in de metadata van de pagina (gebruikt het WARC-formaat, mocht je daar meer over willen lezen).

        Er is nog wel één ander addertje onder het gras: ‘assets’ (afbeeldingen, scripts, etc.) die op een pagina geladen worden in de Wayback Machine zijn niet per definitie van dezelfde datum als de pagina zelf. Hij zoekt gewoon de ‘dichtstbijzijnde’ versie ervan en gebruikt die. Door te kijken naar de URL van de assets kun je zien van wanneer die versie is.

  3. Okay, volgen van links in deze post is op eigen risico!

    Ik vond deze Facebook post uit 2013 die lijkt te suggereren dat de hackersgroep uit Bangladesh komt en kennelijk sites aan het hacken is als protest tegen wat er in Gaza gebeurt. Mogelijk dat ze daarbij extra websites infecteren om later ook over te nemen. De iframe geeft hen alvast enige toegang tot de website. En door in de iframe inhoud van de originele website te plaatsen valt de hack minder snel op, natuurlijk. Interessant is ook dat er mogelijk misbruik wordt gemaakt van de website van doridro.com, kennelijk een zanger in Bangladesh. Of deze site is er aktief bij betrokken. Er is een aparte pagina op die site waar men kan inloggen en kennelijk plaatjes kan uploaden om zo vanaf de gehackte site te kunnen gebruiken. Ik heb het idee dat er via deze site al meer dan 50.000 plaatjes zijn geupload en dat de hackers hier recentelijk toegang toe hebben verkregen. Deze website is anoniem geregistreerd via GoDaddy en lijkt gehost te worden vanuit Frankrijk. (Mogelijk omdat ze in Bangladesh geen host beschikbaar hebben.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.