Skip to main content
Simon Wijckmans
Founder & CEO

Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Articles by Simon Wijckmans

Adyen en PCI DSS: wat de processor dekt versus wat jij zelf moet doen

Koppel de scripteigendomsgrens van PCI DSS 6.4.3 en 11.6.1 aan elke Adyen-integratie: Hosted Pages, Drop-in, Components en API-only.

Jul 10, 2026

Formjacking vs Magecart vs digital skimming: wat is het verschil?

Digital skimming is het gevolg van datadiefstal, formjacking is de techniek om data te onderscheppen en Magecart is het ecosysteem van aanvallers.

Jul 10, 2026

Risicobeheer voor third-party scripts: een governance-framework

Een governance-framework voor third-party script-risico: inventaris, ownership, datatiers, change-monitoring, review-cadans, RACI en audit-bewijs.

Jul 10, 2026

Credential stuffing: zo detecteer en stop je het bij de login

Credential stuffing test op grote schaal gelekte gebruikersnaam-wachtwoordparen. Leer de loginsignalen die het verraden en de controles die het stoppen.

Jul 9, 2026

Maakt Stripe je PCI-compliant? Wat PCI DSS 6.4.3 en 11.6.1 nog steeds eisen

Stripe verkleint je PCI DSS-scope en kan je naar SAQ A brengen, maar maakt je site niet volledig compliant. Eisen 6.4.3 en 11.6.1 blijven van jou.

Jul 9, 2026

Wat is online card skimming? Hoe aanvallers betaalkaartgegevens stelen van websites

Kwaadaardige JavaScript op betaalpagina's legt kaartnummers vast vóór versleuteling. Hoe online card skimming werkt, echte voorbeelden en PCI DSS 4.0.1-vereisten.

Jul 8, 2026

Wat is onmogelijke reis-detectie en hoe werkt het?

Onmogelijke reis-detectie markeert sessies waarbij de locatie sneller verandert dan fysiek mogelijk is. Leer hoe het werkt en wat de browserlaag toevoegt.

Jul 4, 2026

Binnen de client-side supply-chain-aanval van $3M op Polymarket

Een gecompromitteerde leverancier injecteerde een wallet-drainer-script in Polymarkets frontend en stal ~$3M. Smart contracts bleven onaangeroerd.

Jun 26, 2026

Beveiligingsrisico's van agentische AI voor websites: privacy, compliance en detectie

Agentische AI-browsers omzeilen cookietoestemming, voeren echte JavaScript uit en creëren AVG-nalevingslacunes die CDN-level botdetectie niet kan zien.

Jun 22, 2026

HIPAA-naleving voor websitetracering: de gids voor zorginstellingen over scripts van derden

HHS OCR stelde vast dat trackingpixels en scripts van derden op zorgwebsites PHI kunnen blootstellen. Dit moeten gedekte entiteiten doen om te voldoen.

Jun 20, 2026

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Jun 18, 2026

PCI DSS 6.4.3 scriptinventaris en autorisatie: zo bouw je het record

De scriptinventaris- en autorisatieworkflow voor PCI DSS 6.4.3: welke velden elk record nodig heeft, wie aftekent en een voorbeeldrij om te kopiëren.

Jun 18, 2026

Polyfill.io supply chain-aanval: volledige tijdlijn, analyse en lessen (2024–2026)

Een volledige, onderbouwde tijdlijn van de Polyfill.io supply chain-aanval, van de domeinverkoop in 2024 tot de Funnull-sancties in 2025, en hoe je het vandaag verwijdert.

Jun 14, 2026

DBSC versus device-fingerprinting: wat de sessiebeveiliging van Chrome niet dekt

Chrome's DBSC stopt hergebruik van gestolen cookies, maar werkt alleen in Chrome, pas na inloggen en zonder device-identiteit. Dit laat het open.

Jun 9, 2026

Wanneer een AI-API het antwoord van een andere gebruiker teruggeeft: gedeelde caches en cross-tenant lekken

Een incident met de Claude-API lijkt antwoorden van andere gebruikers te hebben teruggegeven. Waarom gedeelde caches cross-tenant lekken veroorzaken.

Jun 5, 2026

MFA faalde niet, het vertrouwensmodel faalde: device code phishing en OAuth-tokendiefstal (Kali365)

Kali365 misbruikt de OAuth 2.0 device authorization grant om Microsoft 365-tokens te stelen na MFA. Een technische analyse van de flow, FOCI en detectie.

Jun 5, 2026

AI verkort de exploitcyclus: Google's met AI ontwikkelde zero-day en wat dat betekent voor browsers

Google meldde een zero-day die volgens hen met AI is gemaakt. De echte AI-shift: niet slimmere phishing, maar hoe snel exploits de browser bereiken.

Jun 3, 2026

De browsersessie is nu een security control plane. Aanvallers wisten dat al jaren.

Google's DBSC-voorstel bevestigt een duidelijke verschuiving: browsersessies hebben apparaatvalidatie nodig na login.

May 30, 2026

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

May 19, 2026

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

May 19, 2026

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties van OFAC tegen Funnull tonen waarom de Polyfill-aanval deel was van een groter risico rond infrastructuurwitwassen en browser supply chain.

May 18, 2026

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

May 18, 2026

cside uitgeroepen tot SourceForge Spring 2026 Top Performer voor client-side security

cside is SourceForge Spring 2026 Top Performer, een signaal van gebruikersvertrouwen in client-side security en PCI-bewijs.

May 13, 2026

cside is medevoorzitter van W3C-werk aan antifraude en browsersecurity

Simon Wijckmans is nu medevoorzitter van de W3C AFCG terwijl cside helpt privacyvriendelijke signalen tegen AI-fraude vorm te geven.

May 12, 2026

Hoe OpenClaw-agents botdetectie omzeilen (en hoe je ze stopt)

OpenClaw-agents in combinatie met stealth-browsertools kunnen traditionele botdetectie omzeilen. Lees hoe agentische fraude werkt en hoe browserfingerprinting helpt om die te stoppen.

Apr 28, 2026

Hoe geavanceerde locatiedata accountovername voorkomt en onveilig hergebruik van AI-agenttokens detecteert

Hoe geavanceerde locatiedata beveiligingsteams helpt om impossible travel, hergebruik van gestolen sessies en onveilige AI-agentactiviteit te detecteren voordat accountovername leidt tot fraude of dataverlies.

Apr 15, 2026

Hoe gecompromitteerde third-party scripts AI-agents kunnen prompt-injecteren

Third-party scripts passen websitegedrag al aan op basis van browsereigenschappen. Diezelfde flexibiliteit kan worden misbruikt om AI-agents te detecteren en misleidende instructies of aangepaste inhoud te injecteren.

Apr 13, 2026

DarkSword: pure JavaScript-exploitketen maakt misbruik van legitieme websites

DarkSword is een volledige iOS-exploitketen die via watering-hole-aanvallen op legitieme websites wordt afgeleverd. De keten draait volledig in JavaScript, omzeilt binaire beveiligingsmaatregelen en plaatst JavaScript-backdoors die gevoelige gegevens exfiltreren.

Mar 20, 2026

AppsFlyer Web SDK supply-chain compromittering - polymorfe crypto-stealer

Een DNS-kaping op registrar-niveau van appsflyer.com diende een polymorfe crypto-stelende payload via de AppsFlyer Web SDK, waardoor duizenden sites en sommige Node.js-serveromgevingen werden getroffen. Dit artikel vat telemetrie, forensische indicatoren, IOC's, detectierichtlijnen en herstelstappen samen.

Mar 18, 2026

OpenClaw Scanner voor Scripts van Derden

Een gratis, open-source scanner die scripts van derden inventariseert, fingerprinting detecteert, beveiligingsheaders en cookies controleert, en PCI DSS-risico's op betaalpagina's signaleert. Voer een snelle audit van 30 seconden uit om te zien welke code er in de browsers van je gebruikers wordt uitgevoerd.

Mar 18, 2026

Binnen Coruna - Web Script IOS Exploit

Uw website had mogelijk gebruikt kunnen worden om dit iOS-exploitpakket te verspreiden zonder dat u het wist. Een volledige technische analyse van Coruna: vijf exploitketens, 23 CVE's en de leveringsinfrastructuur die elke website een potentiële aanvalsvector maakt.

Mar 8, 2026

"Microsoft Clairty" is niet Microsoft Clarity: deobfuscatie van een typosquatted advertentiefraude-script

cside ontdekte een nieuwe kwaadaardige client-side injectie afkomstig van een kwaadaardige browserextensie die Microsoft Clarity imiteert en verwijzingstokens overschrijft om verwijzingsinkomsten om te leiden naar een kwaadwillende actor.

Mar 3, 2026

Best practices voor het beveiligen van third-party scripts op webpagina's

Third-party scripts kunnen gevoelige gegevens blootstellen in de browsers van je gebruikers. Leer best practices om client-side code te beveiligen en het risico op datalekken te verkleinen.

Jan 21, 2026

Beste client-side beveiligingstools voor webapplicaties

Webapplicaties maken gebruik van scripts aan de clientzijde. Een meerlaagse monitoringbenadering is de beste manier om verdachte activiteit op deze scripts te detecteren.

Jan 15, 2026

Hoe detecteer je VPN-verkeer op een website

Leeftijdsverificatiewetten in de VS en het VK verplichten bedrijven om minderjarigen de toegang tot beperkte inhoud te ontzeggen, inclusief maatregelen tegen omzeiling via VPN's.

Jan 14, 2026

Webbeveiliging in 2026: voorspellingen van de CEO van cside

2026 zal er anders uitzien dan voorgaande jaren. We houden de volgende ontwikkelingen in de gaten: deepfake-phishing, door LLM's gehallusineerde beveiligingsaanbevelingen en aanvallende AI-agents.

Jan 8, 2026

De verschillen in beveiligingsoplossingen aan de clientzijde

Wanneer een gebruiker een site bezoekt, geeft een webserver de browser opdracht om de inhoud op te halen. Sommige komen van servers die de website-eigenaar beheert, soms van derden. Beveiligingsoplossingen aan de clientzijde zijn bedoeld om de controle terug te geven aan de website-eigenaar, omdat deze verantwoordelijk is voor de tools op zijn site

Jan 6, 2026

Beste client-side beveiliging voor e-commerce?

E-commercesites zijn grote gebruikers van trackingtags aan de clientzijde, wat een aanzienlijk risico met zich meebrengt voor kwaadwillige exfiltratie van gevoelige gegevens, maar ook van legitieme tags die meer gegevens verzamelen dan nodig is om aan databrokers te verkopen. De cside-oplossing lost deze problemen met gemak op.

Dec 26, 2025

Beste beveiliging aan de klantzijde voor financiële instellingen?

Nationale doelwitten zoals financiële instellingen moeten samenwerken met leveranciers die de beperkingen begrijpen en eraan werken om zo dicht mogelijk bij volledige dekking te komen. Lees waarom velen kiezen voor het meerlagenmodel van cside.

Dec 24, 2025

De British Airways-aanval van 2018 - Het volledige verhaal

De British Airways-aanval van 2018 trof 429.612 personen. Ontdek waarom cside het domein van de aanvaller heeft gekocht om het te gebruiken als les over moderne webbeveiliging.

Dec 15, 2025

Hoe cside AI naar client-side beveiliging bracht

In 2024 lanceerde cside de eerste beveiligingsoplossing aan de clientzijde met geïntegreerde AI voor JavaScript-beveiligingsanalyse en compliance-automatisering.

Dec 14, 2025

Onjuiste beweringen van Reflectiz over cside weerlegd

Ontdek waarom de op scanners gebaseerde beweringen van Reflectiz over cside onjuist zijn, en hoe de realtime client-side beveiliging van cside diepere bescherming, volledige payload-forensics en PCI DSS 4.0.1-compliance biedt.

Dec 8, 2025

Script Integrity Management voor e-commerce Merken (SRI, Dynamische Scripts)

Diepgaande analyse van script integrity versus Subresource Integrity versus gedragsmonitoring voor PCI DSS 6.4.3, 11.6.1, ISO 27001 en HIPAA-compliance.

Nov 26, 2025

Het Cloudflare-incident: Hoe cside de impact voor klanten beperkte

Op 18 november had Cloudflare een incident dat duizenden klanten trof. In deze blog bespreken we hoe we de impact voor onze eigen klanten hebben beperkt.

Nov 21, 2025

Waarom WebView-mobiele apps gevaarlijk zijn voor bankieren

Bank-'apps' die draaien in browseromgevingen stellen inloggegevens bloot zonder dat teams het doorhebben. Dit artikel bespreekt voorbeelden van aanvallen op WebView-mobiele apps.

Nov 21, 2025

Fail-open architecturen: het belang van voorbereid zijn op een slechte dag.

Klanten vragen regelmatig: 'wat gebeurt er als cside uitvalt?' of 'voegt het latency toe?'. Zo is onze fail-open architectuur voorbereid op een slechte dag.

Nov 14, 2025

Hoe je JavaScript-agents, CSP en crawlers omzeilt (client-side beveiligingstesten)

De meeste client-side compliance-tools zijn eenvoudig te omzeilen. We laten zien hoe je zwakke plekken in CSP, crawlers en JS-agents test + veiligere alternatieven.

Oct 21, 2025

Wat is client-side beveiliging?

Client-side beveiliging monitort het JavaScript, third-party scripts en pixels die worden uitgevoerd in de browsers van uw gebruikers. Het detecteert bedreigingen zoals Magecart-skimming, formjacking en data-exfiltratie op het moment dat ze worden uitgevoerd in de browser runtime.

Oct 2, 2025

Mockito-documentatie gekaapt

Sommige aanvallen zijn stompzinnig laagdrempelig. Mockito, een populair open source-pakket, bevatte een kwaadaardige link in hun Github-documentatie.

Sep 30, 2025

Vibe Coding Beveiligingsrisico's: Client-Side Kwetsbaarheden in AI-Platforms (Lovable, Copilot, Cursor & meer)

Begrijp de veelvoorkomende kwetsbaarheden in code gemaakt met AI-codeerplatforms zoals Lovable, Copilot, Cursor en Replit. Ontdek hoe je ze oplost vóór je ze live zet.

Sep 30, 2025

Waar QSA's op moeten letten bij de beoordeling van PCI 6.4.3 en 11.6.1

We hebben een beknopte checklist samengesteld, rode vlaggen om op te letten, en de compliance-verschillen tussen CSP, crawlers en client-side scripts.

Sep 9, 2025

Client-Side Aanvalsrapport Q2 2025

Het onderzoek van cside bracht meer dan 72.000 gecompromitteerde websites aan het licht en onthult hoe aanvallers vertrouwen op op JavaScript gebaseerde bezorgingsmechanismen, kwetsbaarheden in de toeleveringsketen van derden en misleidende op de browser gebaseerde social engineering-tactieken zoals nep-browserupdates.

Jul 30, 2025

De PII blinde vlek in webbeveiliging

Maar PII beweegt zich door de frontend, waar de controles zwakker zijn en het zicht vaak beperkt is.

Jul 30, 2025

Het Britse systeem voor leeftijdsverificatie op internet uitgelegd vanuit cybersecurityperspectief

Het Britse systeem voor leeftijdsverificatie op internet heeft als doel kinderen te beschermen tijdens het surfen. Maar deze controles brengen nieuwe cybersecurityrisico's en privacyzorgen met zich mee.

Jul 29, 2025

cside op de PCI SSC 2025 North America Community Meeting

We zijn aanwezig op de PCI SSC 2025 North America Community Meeting, van 16 tot en met 18 september.

Jul 24, 2025

Hoe Chrome-extensies beveiligingsheaders kunnen verwijderen

Veel browsers werken extensies actief bij zonder specifieke goedkeuring of opt-in. Dit betekent dat een extensie vandaag morgen heel anders kan werken, zonder dat je daarvan op de hoogte wordt gesteld.

Jul 21, 2025

Wat is de toonaangevende technologie om creditcardskimming te voorkomen?

Visa's Spring 2025 Biannual Threats Report identificeert digitale skimming als een van de 'meest wijdverspreide en aanhoudende bedreigingen' in het betalingsecosysteem.

Jul 21, 2025

cside op BlackHat USA 2025

cside is aanwezig op BlackHat USA 2025.

Jul 9, 2025

Waarom crawlers alleen niet kunnen helpen met PCI-compliance

Crawlers gedragen zich als een gebruiker, maar zijn duidelijk geen echte menselijke gebruiker. Als een kwaadaardig script wordt geïnjecteerd vanwege een gebruikersinteractie, zal de crawler het kwaadaardige script niet zien tenzij het diezelfde gebruikersinteractie maakt

Jul 3, 2025

PCI Compliance 4.0.1: Een Praktische Implementatiegids Webinar

We werkten samen met VikingCloud, het grootste wereldwijde PCI compliance QSA- en beveiligingsbedrijf, aan 2 webinars die je alle context en informatie geven om PCI DSS 4.0.1 te implementeren. Met speciale aandacht voor vereisten 6.4.3 & 11.6.1.

Jun 26, 2025

Waarom we cside heten

We hebben onszelf vernoemd naar het deel van het web dat niemand anders beschermde: de client-side.

Jun 25, 2025

Overzicht Client-Side Aanvallen – Q1 2025

Het onderzoek van cside bracht in Q1 2025 bijna 300.000 gecompromitteerde websites aan het licht.

Apr 30, 2025

VikingCloud keurt cside goed voor PCI DSS vereisten 6.4.3 en 11.6.1

cside heeft samengewerkt met VikingCloud voor een diepgaande technische beoordeling van de beveiligingsoplossingen die wij aanbieden onder het enterprise-plan, binnen de scope van PCI-compliance. Dit biedt volledige gemoedsrust dat bij een correcte implementatie van onze producten aan vereisten 6.4.3 en 11.6.1 wordt voldaan.

Apr 24, 2025

Is er een "gratis" methode om te voldoen aan PCI DSS 6.4.3 en 11.6.1?

Het korte antwoord: Zonder een kant-en-klare oplossing zou je een zelfgebouwde monitoringtool moeten bouwen die in loonkosten aanzienlijk meer kost dan de licentiekosten van een bestaande oplossing.

Apr 23, 2025

Heb je PCI SSF of PCI DSS nodig? Dit is het verschil

PCI SSF is voor de software, en PCI DSS is voor al het andere. We leggen het uit.

Apr 22, 2025

Kun je Adyen gebruiken voor PCI DSS?

Ja, MAAR afhankelijk van de integratie is jouw bedrijf nog steeds verantwoordelijk voor naleving van de Payment Card Industry Data Security Standard (PCI DSS).

Mar 21, 2025

Kun je PayPal (Braintree) gebruiken voor PCI DSS?

Ja, MAAR afhankelijk van de integratie is jouw bedrijf nog steeds verantwoordelijk voor het waarborgen van naleving van de Payment Card Industry Data Security Standard (PCI DSS).

Mar 21, 2025

Is Stripe PCI DSS-compliant? Wat merchants nog zelf moeten doen

Stripe heeft PCI Niveau 1-certificering. Merchants blijven zelf verantwoordelijk voor scriptmonitoring op betaalpagina's onder §6.4.3 en §11.6.1.

Mar 21, 2025

BSidesSF en RSAC Evenement

Wanneer cside exposeert, zijn de afterparty's in de stad! Georganiseerd door ons, Socket, Arcjet en Incident! Vind onze stand op BSidesSF (volg de laser), en stand 2438 op RSAC. Registreer voor 30 april Boek een afspraak Sluit je aan bij de ultieme cybersecurity netwerkevenement op het dakterras van onze investeerder Uncork Capital in San Francisco! Georganiseerd door cside, Socket, Arcjet en Incident, brengen deze exclusieve evenementen 250+ techneuten, cybersecurity professionals en BS

Mar 13, 2025

Hoe je een PCI DSS SAQ A-bedrijf wordt (6.4.3 en 11.6.1)

Één zin wakkert discussie aan. Omdat sites scripts dynamisch laden, kan een script van elke pagina doorlopen tot aan de checkout en zo betalingen beïnvloeden. Scripts van derden, ook als ze niets met betalingen te maken hebben of op pagina's vóór de betaalpagina worden geladen, kunnen kwetsbaarheden introduceren.

Mar 7, 2025

Bybit-aanval: $1,5 miljard gestolen via kwaadaardige JavaScript

De aanvallers injecteerden kwaadaardige JavaScript in de website-interface waar Bybit-medewerkers normaal gesproken transacties goedkeuren. Deze kwaadaardige code was zo verborgen dat alles er op het scherm normaal uitzag—maar achter de schermen werden belangrijke details gewijzigd.

Feb 27, 2025

cside is nu SOC2-compliant

We zijn trots om aan te kondigen dat onze SOC2 type 2-audit is geslaagd, en wel met de hoogste graad van goedkeuring.

Feb 5, 2025

De januari 2025-updates voor PCI DSS SAQ A ontrafeld

Een uitgebreide uitleg, diagram en gids over de wijzigingen rondom PCI DSS 4.0.1 - 6.4.3 en 11.6.1

Feb 2, 2025

Affiliate tracking en de cyberbeveiligingsrisico's ervan

Kwaadwillenden misbruiken trackingpixels vaak om schadelijke scripts te injecteren op anderszins normale websites.

Jan 20, 2025

Waarom Content Security Policy niet werkt

Content Security Policy (CSP) is een beveiligingsfunctie van webbrowsers waarmee een website-eigenaar een set regels kan definiëren die bepalen welke resources (bijv. scripts, stijlen, afbeeldingen) door de browser mogen worden geladen en uitgevoerd. We noemen dit de client-side, het allerlaatste punt in de webtoeleveringsketen. Mits correct geconfigureerd, helpt het een breed scala aan aanvallen te voorkomen. Maar die eerste drie woorden maken alle verschil. Het kan helpen voorkomen: Cross-Site Scripting (XSS): Door de bronnen te beperken waaruit scripts kunnen worden geladen, kan CSP kwaadaardige scripts die in een webpagina worden geïnjecteerd effectief blokkeren.

Jan 7, 2025

Beveiligings- en compliancerisico's van advertentiemarktplaatsen

Voor bedrijven die inkomsten genereren via advertentiemarktplaatsmodellen zijn externe advertentienetwerken, analyseplatformen en marketingscripts onmisbaar. Ze zijn nodig om omzet te stimuleren door betrokkenheid te vergroten en gebruikersgedrag bij te houden.

Dec 23, 2024

Een nieuw Progressive Web App-gevaar waar maar weinig mensen van weten

De toename in adoptie van PWA's gaat gepaard met een toename van client-side beveiligingsrisico's. En de sector? Die heeft het er nauwelijks over.

Dec 20, 2024

De Polyfill[.]io-aanval - Meer dan alleen een omleidingsaanval

Een omleiding was alleen wat er werd betrapt. Met controle over één script van derden op een half miljoen sites was veel erger mogelijk. Dit is waarom het ertoe deed.

Dec 6, 2024

Hoe webextensies uw site kunnen schaden (INFIRC[.]com en INFIRD[.]com)

De domeinen infirc[.]com en infird[.]com hebben recentelijk behoorlijk wat opschudding veroorzaakt en de gevaren van geïnfecteerde of kwaadaardige webextensies benadrukt

Oct 18, 2024

De Internet Archive Hack: Hoe JavaScript in het plaatje past

Het Internet Archive, ook bekend als The Wayback Machine, werd gisteren getroffen door een beveiligingslek. Dit was niet de eerste keer dat het

Oct 18, 2024

De grootste Magecart-aanvallen in de geschiedenis (tot nu toe)

Magecart-aanvallen injecteren JavaScript-skimmers in betaalpagina's om kaartgegevens te stelen. De grootste Magecart-incidenten ooit en hoe ze te voorkomen.

Oct 17, 2024

Nieuwe TTPs voor het stelen van PII en financiële informatie van Magento-websites

Bij cside monitoren we actief client-side supply chain-aanvallen, met een focus op de zich ontwikkelende tactieken, technieken en procedures (TTPs) van dreigingsactoren. Een van de meest voorkomende aanvallen die we de afgelopen maanden hebben waargenomen, is het targeten van eCommerce-websites gebouwd op het Magento-framework. We volgen in het bijzonder de Cosmic Sting-aanval (CVE-2024-34102) op de voet, waarover breed is gerapporteerd, onder meer door Sansec (https://sansec.io/research/cosmicsting). Recent waargenomen TTP

Oct 14, 2024

Waarom hebben websites 3rd party scripts nodig?

Bij het ontwikkelen van een website neem je vaak bibliotheken op om het ontwikkelproces te versnellen en het wiel niet opnieuw uit te vinden. Echter

Oct 10, 2024

cside treedt toe tot de PCI Security Standards Council als Associate Participating Organization

We zijn trots om aan te kondigen dat we zijn toegetreden tot de Payment Card Industry Security Standards Council (PCI SSC) als Associate Participating Organization. De PCI SSC leidt een wereldwijde, sectoroverschrijdende inspanning om betalingsbeveiliging te verbeteren door middel van flexibele, door de industrie gedreven gegevensbeveiligingsstandaarden. Via samenwerking met andere toonaangevende partijen in de sector is het de missie van de Council om betalingsgegevens te beschermen tegen opkomende dreigingen en in te spelen op de veranderende behoeften van het betalingsecosysteem. Als Associate Participatin

Oct 7, 2024

Carlsberg doelwit van Magento 'CosmicSting' malware-aanval

De term 'Magecart' verwijst naar aanvallen op het Magento-platform. Onlangs werd opnieuw een grote campagne ontdekt die Magento-sites als doelwit heeft. Carlsberg was een van de getroffen websites. Het patroon van deze aanvallen is vrijwel altijd hetzelfde. Eén regel JavaScript laadt inhoud van een externe website — met andere woorden, een script van een derde partij. Die code wordt vervolgens zwaar geobfusceerd om detectie verder te vertragen. In dit geval werd het betalingsproces stilletjes aangepast. Een nep betaalmethode

Oct 4, 2024

cside wordt lid van het W3C

We zijn ontzettend trots om aan te kondigen dat we lid zijn geworden van de W3C Web Application Security Working Group. De missie van de Web Application Security Working Group is het ontwikkelen van mechanismen en best practices om de beveiliging van webapplicaties te verbeteren. Ons hele team is al jaren actief in cybersecurity. Via cside willen we nu bewustzijn creëren en hogere standaarden stellen voor client-side beveiliging. Door de krachten te bundelen, komen we een stap dichter bij het bereiken van beide doelen. We willen publiekelijk t

Oct 4, 2024

Threat feeds detecteren aanval meer dan 2 jaar niet

Op deze website zien we dat de aanval actief is sinds augustus 2022. We hebben deze en andere getroffen websites op de hoogte gesteld.

Oct 2, 2024

Waarom obfusceren ontwikkelaars JavaScript?

Als client-side beveiligingsbedrijf dat JavaScript beschermt, zien we veel geobfusceerde scripts. Wanneer je onze tool gebruikt, kun je de gedeobfusceerde versie van de scripts bekijken om te zien wat ze doen. Deobfuscatie bestaat al een tijdje, maar waarom wordt code eigenlijk geobfusceerd? JavaScript-obfuscatie ontstond om de broncode van webapplicaties te beschermen tegen eenvoudig begrijpen, kopiëren of misbruiken door onbevoegde gebruikers. Obfuscatie als concept bestaat al langer dan JavaScript en e

Oct 1, 2024

ButterCMS niet-gerapporteerde downtime en beveiligingsproblemen

ButterCMS is een populaire tool die wordt gebruikt om content voor blogs te beheren. Eerder deze week merkten we een mogelijk ernstig beveiligingsincident op dat het team ertoe aanzette om ButterCMS van onze site te verwijderen en een diepgaand onderzoek te starten naar wat er gebeurd was. Mogelijk werden 1.660 websites en meer dan 5.800 domeinen getroffen.

Sep 23, 2024

cside haalt een seed-ronde van $6 miljoen op

We zijn ontzettend trots om onze seed-ronde van $6 miljoen aan te kondigen, slechts zes maanden na het ophalen van onze pre-seed van $1,7 miljoen. Geleid door Uncork Capital als hoofdinvesteerder, met deelname van Mantis en PrimeSet. We verwelkomen ook Scribble VC en Roar Ventures terug, die ons steunden tijdens de pre-seed. Samen met dit nieuws hebben we onze gratis laag voor iedereen opengesteld. Je kunt je nu aanmelden en cside gaan gebruiken om scripts van derden te monitoren, beveiligen en optimaliseren. We hebben cside opgericht om client-side beveiliging op de kaart te zetten. Voor t

Sep 16, 2024

cside geselecteerd voor TechCrunch Disrupt Startup Battlefield 2024

We zijn ontzettend trots om aan te kondigen dat we zijn geselecteerd voor TechCrunch Disrupt Startup Battlefield in 2024. De deelnemers aan dit jaar's Startup Battlefield zijn actief in kunstmatige intelligentie (AI), software as a service (SaaS), fintech, beveiliging, duurzaamheid, ruimteverkenning en meer. Van de duizenden startups halen slechts 200 de selectie, en we zijn enorm verheugd om tot deze uitgelezen groep te behoren. We kunnen niet wachten om ons product aan de wereld te laten zien, van 28 t/m 30 oktober in Moscone West in San F

Sep 5, 2024

Hoe JavaScript te versnellen

Conversiepercentages zijn gecorreleerd met de laadsnelheid van sites. Maar e-commercesites hebben een hoop JavaScript die dingen vertraagt... de oplossing is hier.

Sep 2, 2024

Wat zijn digitale skimmers?

Onlangs lazen we over een nieuwe, grootschalige cyberaanvalscampagne die honderden webwinkels trof door kwetsbaarheden in scripts en plug-ins van derden te misbruiken. Dit is een perfect voorbeeld van een 'digitale skimmer'. Digitale skimmers zijn stukjes code die kwaadaardig worden geïnjecteerd in legitieme websites. Ze zijn gericht op persoonlijke gegevens en creditcardinformatie. Dit probleem neemt toe en is een van de redenen waarom cside is opgericht. Onze proxy kan deze kwaadaardige code detecteren en voorkomen dat deze gebruikers op websites treft.

Aug 29, 2024

Waarom browsers steeds gevaarlijker worden

Technologieën zoals WebAssembly (WASM), WebGPU en IndexedDB hebben getransformeerd wat browsers kunnen bereiken. Deze evolutie heeft de func

Aug 23, 2024

De werkelijke kosten van een cyberaanval

Het berekenen van de werkelijke kosten van een cyberaanval is moeilijk. Geen enkele is hetzelfde. Toch rapporteren we hierover zo gedetailleerd mogelijk om een nauwkeurig beeld te geven van wat er gebeurt wanneer dit uw bedrijf overkomt.

Aug 12, 2024

Is Tuaw een oplichterij in de maak?

Toen we gisteren de nieuwe Fireship-video zagen, werden we onmiddellijk herinnerd aan de recente Polyfill-aanval. Ons eerste artikel werd opgepikt en

Aug 2, 2024

De Copay event-stream-aanval illustreert de risico's van afhankelijkheden

Het JavaScript-ecosysteem werd in november 2018 opgeschrikt door een geavanceerde aanval op Copay, een populaire aanbieder van cryptocurrency-wallets. Deze aanval, bekend als de event-stream-aanval, legde de kritieke kwetsbaarheden bloot die gepaard gaan met het vertrouwen op externe afhankelijkheden bij softwareontwikkeling. Copay staat tegenwoordig bekend als Bitpay Wallet. De aanval begrijpen Event-stream, een populair npm-pakket, werd door talloze projecten gebruikt voor het efficiënt beheren van datastromen

Jul 29, 2024

De Segway cyberaanval uitgelegd

In januari 2022 werd de webwinkel van Segway getroffen door een web supply chain-aanval – ook wel een Magecart-aanval genoemd. Bij dit soort aanvallen wordt kwaadaardige JavaScript-code toegevoegd die aan de client-side wordt geladen, ook wel bekend als third-party scripts. Veel gangbare tools zijn third-party scripts, zoals analytics, captcha's en meer. Maar deze weg kan ook voor kwaadaardige doeleinden worden gebruikt, zoals hier het geval was. Bij deze aanval op Segway was hun winkel opgezet op Magento. De aanvallers richtten zich op kwetsbaarheden

Jul 25, 2024

Implementeer scripts niet sitebreed

Third-party scripts worden vaak sitebreed ingezet, doorgaans geïnjecteerd in de head-tags van webframeworks zoals Next.js via het '_document.js'-bestand. Deze wijdverspreide implementatie, hoewel handig voor ontwikkelaars en vaak aanbevolen door onboardinghandleidingen, betekent dat deze scripts op de hele site worden uitgevoerd. Dit is eenvoudiger te implementeren, maar introduceert ook beveiligingsrisico's en prestatieproblemen die vaak over het hoofd worden gezien. Het recente datalek bij Kaiser Permanente toont de gevaren aan van slecht beheerde

Jul 22, 2024

Wat is een aanvalsvector en wat zijn verborgen aanvalsvectoren

Een aanvalsvector in cybersecurity is de manier waarop een aanvaller misbruik maakt van beveiligingszwakheden. Sommige zijn minder voor de hand liggend dan andere. Eén waar wij ons op richten is JavaScript van derden. Omdat deze scripts door de website-eigenaar worden geïnstalleerd maar in de browsers van bezoekers worden uitgevoerd, bevinden ze zich in een unieke positie. Als er iets kwaadaardigs plaatsvindt binnen deze scripts, is geen van beide partijen zich daarvan bewust. De bezoeker wordt getroffen en de website-eigenaar wordt aansprakelijk. We hebben dit al te vaak gezien, bijvoorbeeld bij de

Jul 15, 2024

Hoe verlopen domeinen leiden tot cyberaanvallen

Hoe verlopen domeinen leiden tot cyberbeveiligingsaanvallen In 2018 werd British Airways aangevallen door de exploitatie van een JavaScript-pakket van derden

Jul 8, 2024

De Polyfill-aanval uitgelegd

Een gemanipuleerd JavaScript-bestand geïnjecteerd door het polyfill[.]io-domein leidde een percentage van de gebruikers om naar websites voor volwassenen en goksites op basis van hun User-Agent. Een Japanse X-gebruiker "piyokango" was waarschijnlijk de eerste die deze aanval op 24 juni meldde.

Jul 3, 2024

Wat is de browser supply chain?

cside is een cybersecurityproduct dat zich bevindt in de browser supply chain-ruimte. Wij en andere leveranciers die hier actief zijn, praten graag over die supply chain. Maar wat bedoelen we daar precies mee? De browser supply chain is de combinatie van componenten en processen die samenwerken om webpagina's te renderen, scripts uit te voeren en een soepele werking te garanderen. Deze supply chain omvat alles van het eerste verzoek voor een webpagina tot de uiteindelijke weergave van die pagina in de browser van een gebruiker. Evenals dyn

Jul 2, 2024

Meer dan 490k websites doelwit van web supply chain-aanval

Het domein cdn.polyfill[.]io wordt gebruikt in een web supply chain-aanval. Wij waren de eersten die de werkelijke omvang rapporteerden: meer dan 490.000 getroffen websites.

Jun 25, 2024

De BrowseAloud Supply-Chain Aanval: Een Casestudy in Cryptojacking

Deze aanval trof meer dan 4.000 websites, waaronder overheids- en onderwijssites, waardoor duizenden gebruikers zonder hun medeweten werden blootgesteld aan cryptojacking.

Jun 10, 2024

Supply Chain Risico Eindigt Niet Bij NPM

Door alleen NPM (of een ander register) te controleren, ben je niet beschermd tegen aanvallen via third-party scripts.

May 30, 2024

Ticketmaster Datalek Déjà Vu: Wat Je Moet Weten

Gisteren, op 29 mei 2024, werd nieuws bekend over een vermeend datalek bij Ticketmaster, een prominente verkoop- en distributieonderneming voor tickets. Ticketmaster heeft ongeautoriseerde activiteit bevestigd binnen een clouddatabaseomgeving van een derde partij, waarbij de persoonlijke gegevens van meer dan 500 miljoen klanten zouden zijn blootgesteld. Dit lek omvat gevoelige gegevens zoals e-mailadressen, telefoonnummers, adressen en financiële gegevens. ShinyHunters, een beruchte aanvaller, herplaatste het lek. Volgens berichten,

May 30, 2024

Kaiser Permanente Datalek: Een Kwestie van Miscommunicatie en Ontoereikende Openbaarmaking

Op 29 april maakte zorgverzekeringsreus Kaiser Permanente een datalek bekend dat 13,4 miljoen huidige en voormalige verzekeringsleden trof. Het incident was het gevolg van slecht beheerde scripts van derden. Het Incident Kaiser Permanente gebruikte trackingcodes om te monitoren hoe leden door de website en mobiele applicaties navigeerden. Sommige van deze pagina's bevatten gevoelige zorggegevens, waardoor de scripts van derden per ongeluk informatie doorgaven aan externe leveranciers die daar geen toegang toe hadden.

May 25, 2024

Threat Feeds in het AI-tijdperk

Het idee achter threat feeds is valide. Maar we zouden stellen dat het zijn beste tijd heeft gehad. En met de technologie van vandaag zijn er betere opties. Threat feeds zijn (vaak) een lijst met community-gedreven beveiligingsinformatie. Wanneer iemand een kwetsbaarheid ontdekt, plaatsen ze handmatig een melding in de threat feed. Die wordt vervolgens opgepikt en verschijnt in de feed, waar beveiligingsprofessionals bij hun respectieve bedrijven het lezen en hun eigen systemen controleren om te zien of ze vatbaar zijn voor potentieel gevaar.

Apr 28, 2024

De cdnjs-kwetsbaarheid van 2021 in detail

Controleren of je externe scriptbronnen betrouwbaar zijn, is belangrijk. Maar dat alleen is mogelijk niet genoeg. Dat leerde de wereld in 2021, toen een enorme kwetsbaarheid in Cloudflare's cdnjs aan het licht kwam. Hier is een overzicht van wat er gebeurde en hoe. Cdnjs is een van de meest gebruikte JavaScript Content Delivery Networks (CDN's) van vandaag. Meer dan 12% van alle websites op internet injecteert ten minste één script via cdnjs. Een onderzoeker met de schermnaam 'RyotaK' deelde een supply cha

Apr 28, 2024

Het risico van alleen je betaalportalen beschermen tegen aanvallen via JavaScript van derden

PCI DSS 4.0 is er. Vanaf maart 2025 verplicht het dat betaalportalen een manier moeten hebben om elk script op betaalpagina's te autoriseren. Websites moeten een inventaris bijhouden van alle scripts (op die betaalportalen in ieder geval) en de integriteit ervan waarborgen. Je moet nu ongeautoriseerde wijzigingen op betaalpagina's detecteren en erop reageren, inclusief wijzigingen in HTTP-headers en pagina-inhoud. Organisaties moeten deze configuraties minimaal eens per zeven dagen controleren of zoals bepaald door hun risicoanalyse.

Apr 15, 2024

PCI DSS 4.0.1 complete gids en stappen

PCI DSS 4.0 complete gids en stappen De Payment Card Industry Data Security Standard (PCI DSS) is een reeks richtlijnen die de veiligheid van

Mar 4, 2024
Boek een demo