Blog Attacks

De grootste Magecart-aanvallen in de geschiedenis (tot nu toe)

Waar de term 'Magecart' vandaan komt Magecart-aanvallen zijn een type cyberaanval waarbij hackers kwaadaardige JavaScript-code injecteren, vaak

Oct 17, 2024 • 13 min read

Simon Wijckmans Founder & CEO

the-biggest-magecart-attacks-image-cover

Waar de term "Magecart" vandaan komt

Magecart-aanvallen zijn een type cyberaanval waarbij hackers kwaadaardige JavaScript-code injecteren, vaak aangeduid als "skimming"-scripts, in websites. Dit kan elk type website zijn, maar wanneer we het over Magecart hebben, gaat het bijna uitsluitend om e-commercesites om creditcardgegevens te proberen te onderscheppen.

De term "Magecart" komt voort uit de combinatie van "Magento," een populair open-source e-commerceplatform, en "cart," verwijzend naar de winkelwagenfunctie op deze websites. De eerste golf van aanvallen richtte zich op Magento-gebaseerde websites, wat leidde tot het ontstaan van de term.

Deze types aanvallen vallen ook onder de overkoepelende termen "client-side attacks" en "web supply chain attacks".

Evolutie naar een generieke term

In de loop der tijd evolueerde "Magecart" zelf van een verwijzing naar een specifieke groep hackers naar een overkoepelende term die wordt gebruikt om een bredere stijl van aanvallen te beschrijven:

Navolgers: Omdat de methoden van de oorspronkelijke Magecart-groep effectief bleken, namen andere cybercriminele groepen vergelijkbare technieken over.
Uitbreiding: Hoewel vroege Magecart-aanvallen zich voornamelijk richtten op Magento-sites, is de reikwijdte aanzienlijk verbreed. Aanvallers richten zich nu op verschillende contentmanagementsystemen (CMS) en e-commerceplatforms, zoals WooCommerce, PrestaShop, Shopify en op maat gebouwde websites.
Altijd third-party scripts: Moderne Magecart-aanvallen maken vaak misbruik van kwetsbaarheden in third-party diensten die in websites zijn geïntegreerd, zoals chatwidgets, analysescripts of betalingsverwerkers. Deze verschuiving in tactieken van het aanvallen van alleen de e-commerceplatforms zelf naar het aanvallen van het bredere webecosysteem droeg bij aan de bredere toepassing van de term.
Toegenomen publieke bewustzijn: Spraakmakende incidenten waarbij grote merken zoals British Airways, Ticketmaster en Newegg betrokken waren, brachten aanzienlijke media-aandacht naar Magecart-aanvallen. Vaak noemen artikelen de naam als terugverwijzing, terwijl het niet noodzakelijkerwijs een "Magecart"-aanval is in de oorspronkelijke betekenis van het woord.

Over het algemeen, wanneer iemand Magecart noemt, denk dan aan digital skimming.

De grootste Magecart-aanvallen tot nu toe

Laten we in gedachten houden dat dit de Magecart-aanvallen zijn waarvan we momenteel weten. Het is waarschijnlijk dat er veel meer op dit moment plaatsvinden. Als we aanvullende aanvallen ontdekken, zullen we dit bericht bijwerken.

We hebben deze breed gerangschikt op basis van getroffen personen, financiële implicaties, mediadekking en reputatieschade.

1. British Airways

Dit wordt vaak beschouwd als de grootste en meest spraakmakende Magecart-aanval. Het is ook degene die we het vaakst citeren. Deels omdat we het domein dat in die aanval werd gebruikt hebben gekocht, baways.com (nu veilig), en daar het volledige verhaal van de aanval hebben verteld.

Educatieve landingspagina die nu draait op het baways.com-domein

Hoewel we graag zouden willen zeggen dat we door ingewikkelde schema's moesten gaan om dat te krijgen, hebben we het gewoon gekocht bij een openbaar register. Lees dat verhaal hier.

Bij deze aanval werd het domein door de aanvallers gekocht en ingevoegd in een gemanipuleerd third-party script om langer onder de radar te blijven. BAWAYS klinkt immers als een legitiem British Airways-domein.

Maar in andere gevallen hebben verlopen of verkochte domeinen die voorkomen in third-party scripts een direct pad om veel websites in één keer te exploiteren. Hoewel het geen Magecart-aanval was, toonde de recente Polyfill-aanval ons waarom het belangrijk is om je site hiertegen te beveiligen.

De British Airways (BA) hack van september 2018 was een vrij geavanceerde Magecart-aanval die de persoonlijke en financiële informatie van ongeveer 380.000 mensen in gevaar bracht. De hackers maakten misbruik van kwetsbaarheden in het online betalingssysteem van British Airways door kwaadaardige JavaScript-code te injecteren in de website en mobiele app van de luchtvaartmaatschappij. Deze code was specifiek ontworpen om betalingsinformatie in realtime vast te leggen terwijl klanten hun gegevens op de betaalpagina invoerden.

De gestolen gegevens omvatten namen, e-mailadressen en volledige creditcardgegevens, inclusief CVV-codes, waardoor ze zeer waardevol waren voor frauduleuze activiteiten. En de aanval bleef meer dan twee weken onopgemerkt, waardoor de aanvallers ruim de tijd hadden om gevoelige klantinformatie te verzamelen.

Deze inbreuk had aanzienlijke gevolgen voor British Airways, zowel financieel als reputationeel. Het Information Commissioner's Office (ICO) van het VK legde British Airways een boete op van £20 miljoen ($26 miljoen) en de inbreuk leidde ook tot wijdverspreide kritiek op de cybersecuritypraktijken van British Airways.

2. Ticketmaster

Deze aanval trof ongeveer 40.000 klanten, maar was significant vanwege de betrokkenheid van een third-party serviceprovider (Inbenta).

Opnieuw injecteerden de aanvallers kwaadaardige JavaScript-code in deze third-party widget, waardoor ze creditcardgegevens, namen, adressen en andere gevoelige informatie van klanten konden aftappen terwijl transacties werden verwerkt op de site van Ticketmaster. De kwaadaardige code bleef meerdere maanden onopgemerkt, gedurende welke de aanvallers waardevolle klantgegevens verzamelden.

Als gevolg hiervan kreeg Ticketmaster kritiek omdat het zijn third-party partners niet adequaat had gescreend en vanwege de vertraging in het detecteren van en reageren op de inbreuk.

In mei 2024 ervoeren we een beetje déjà vu toen nieuws uitbrak over een ander Ticketmaster-incident dat een opvallende gelijkenis vertoonde met de beruchte datalek van 2018.

Dit nieuwe incident was enigszins vergelijkbaar met het eerste, aangezien Ticketmaster ongeautoriseerde activiteit bevestigde binnen een third-party cloud database-omgeving, waarbij werd beweerd dat de persoonlijke informatie van meer dan 500 miljoen klanten was blootgesteld. Hier is onze volledige beschrijving van deze laatste Ticketmaster-inbreuk.

3. Newegg

De Newegg-hack is een van die klassieke Magecart-aanvallen waar mensen nog steeds over praten. Deze was behoorlijk slinks en toonde aan hoe slim aanvallers kunnen zijn. Ook in 2018 slaagden hackers erin om kwaadaardige JavaScript-code direct in de checkout-pagina van de website van Newegg te plaatsen. Hun doel? Je raadt het al, creditcardinformatie van klanten afschuimen terwijl ze aankopen deden. De aanval bleef ook meer dan een maand onopgemerkt, wat de aanvallers voldoende tijd gaf om een aanzienlijke hoeveelheid gevoelige gegevens te verzamelen.

Wat deze aanval bijzonder interessant maakte, was de manier waarop de hackers opereerden. Ze vielen niet direct de hoofdsite van Newegg aan; in plaats daarvan imiteerden ze Newegg's eigen betalingsverwerkingsscript om hun kwaadaardige code bijna perfect te laten opgaan. Het was een slimme zet die hen in staat stelde zo lang onder de radar te vliegen. De gestolen gegevens omvatten alles van namen en adressen tot creditcardnummers en CVV-codes.

Hoewel Newegg's reactie op de aanval niet zo snel was als sommigen hadden gehoopt, zette het incident zeker de schijnwerpers op de noodzaak van meer waakzame beveiligingspraktijken, vooral rond betaalpagina's. Het is een van de redenen waarom de bijgewerkte PCI DSS 4.0-vereisten het beveiligen van scripts op betaalpagina's omvatten, lees daarover als klanten betalingen doen op je site.

4. Meerdere Magento-sites

In plaats van achter één grote vis aan te gaan, gingen de aanvallers tussen 2020 en 2021 voor kwantiteit, waarbij ze kwetsbaarheden in meer dan 2.000 Magento e-commercesites exploiteerden. De strategie was eenvoudig maar effectief: gebruik bekende fouten in verouderde Magento-installaties om skimming-scripts in checkout-pagina's te injecteren en creditcardinformatie te pakken terwijl nietsvermoedende klanten hun aankopen deden.

Wat hier fascinerend is, is de enorme omvang van deze aanval. Het ging niet alleen om het raken van een paar sites; het ging om het benutten van een wijdverspreide kwetsbaarheid om een enorm aantal bedrijven tegelijk te treffen.

Dit soort aanval is bijzonder zorgwekkend voor kleine en middelgrote bedrijven, die vaak niet hetzelfde beveiligingsniveau hebben als de grote spelers. En voor degenen die nog steeds oudere versies van Magento draaien, was dit een wake-up call.

Een van de recentere en grootste Magento Magecart-aanvallen gebeurde bij Segway in 2022. De aanvallers richtten zich op kwetsbaarheden in het CMS zelf of een van de plugins die op de Segway-site waren geïnstalleerd. Na het binnendringen daarvan, voegden ze opnieuw kwaadaardige JavaScript toe. Hier leek het te worden weergegeven als het copyright van de site, maar werd het eigenlijk gebruikt om een externe favicon te laden.

Binnen dat favicon-bestand werd een kwaadaardig domein geplaatst dat externe code laadde om betalingsinformatie van nietsvermoedende klanten af te schuimen. Lees ons volledige artikel over die aanval hier.

5. Volusion

De Volusion-hack in 2019-2020 is een andere Magecart-aanval die perfect de gevaren van supply chain-kwetsbaarheden illustreert. Deze keer gingen de aanvallers achter Volusion aan, een e-commerceplatformprovider die duizenden online winkels aandrijft.

Door de infrastructuur van Volusion zelf te compromitteren, konden de hackers hun kwaadaardige JavaScript injecteren in een JavaScript-bestand dat werd geserveerd aan alle websites die gebruik maken van de diensten van Volusion. Ze hoefden niet individuele winkels één voor één te targeten, ze hoefden alleen maar binnen te komen via de platformprovider en ze hadden in één keer toegang tot de betaalpagina's van al die winkels.

De impact was enorm en trof talloze kleine en middelgrote bedrijven die op Volusion vertrouwden om hun e-commerceactiviteiten te runnen. Klanten die in deze winkels shopten, kregen hun creditcardgegevens afgeschuimd, wat opnieuw namen, kaartnummers, vervaldatums en CVV's omvatte.

Wanneer je bedrijf afhankelijk is van een serviceprovider, worden hun kwetsbaarheden jouw kwetsbaarheden.

Wat we tot nu toe hebben geleerd over Magecart

Laten we kijken naar een paar gemeenschappelijke thema's in deze grootste drie Magecart-aanvallen:

Ze richten zich altijd op third-party tools die actief zijn op sites (meestal third-party scripts).
De aanvallen blijven altijd een tijdje onopgemerkt
Ze zijn altijd uit op sites waar gewone mensen online kopen

Dus als je een site runt met die kenmerken, zouden de alarmbellen nu moeten afgaan. Je kunt je third-party scripts beveiligen en voorkomen dat deze aanvallen plaatsvinden.

Meer Magecart-aanvallen

Laten we kijken naar een paar meer opmerkelijke Magecart-aanvallen:

Warner Music Group

De Warner Music Group-hack in 2020 was een andere opmerkelijke Magecart-achtige aanval die zich over meerdere maanden uitstrekte en meerdere e-commercesites betrof die geassocieerd waren met dit grote muzieklabel. Hackers injecteerden kwaadaardige scripts in de checkout-pagina's van de online winkels van Warner Music, waardoor ze betalingsinformatie konden afschuimen van klanten die merchandise en digitale producten kochten.

Claire's en Icing websites

Claire's, de populaire accessoires- en sieradenretailer, had een zwaar jaar in 2020 toen het slachtoffer werd van niet één, maar twee Magecart-aanvallen. Nadat het bedrijf aanvankelijk was geschonden, dacht het de situatie onder controle te hebben, maar de aanvallers slaagden erin hun websites kort na de eerste aanval opnieuw te infecteren.

American Cancer Society

De inbreuk bij de American Cancer Society in 2019 kwam bijzonder hard aan en toont aan dat zelfs non-profitorganisaties niet veilig zijn voor Magecart-aanvallen. Elke organisatie of website met informatie kan en zal worden geviseerd.

De aanvallers injecteerden kwaadaardige JavaScript-code in de donatiepagina van de website van de organisatie, met als doel creditcardinformatie van donateurs te stelen.

Macy's

Aanvallers slaagden erin het online betalingssysteem van het Amerikaanse warenhuis te compromitteren, waarbij ze kwaadaardige code injecteerden om betalingsinformatie rechtstreeks van klanten te stelen tijdens het afrekenproces. Hoewel het aantal getroffen klanten kleiner was in vergelijking met enkele van de andere Magecart-aanvallen, was de timing bijzonder impactvol omdat het plaatsvond tijdens een belangrijke verkoopperiode, precies toen shoppers naar de site stroomden voor aanbiedingen.

Regal Cinemas

De Magecart-aanval op Regal Cinemas in 2022 bracht de focus terug naar de entertainmentsector, die tot dan toe niet vaak werd geassocieerd met dergelijke inbreuken. Aanvallers richtten zich op het online ticketingplatform van Regal en embedden kwaadaardige scripts om betalingsinformatie vast te leggen van klanten die tickets kochten. Vrij vergelijkbaar met de Ticketmaster-aanval.

NutriBullet

NutriBullet, beroemd om zijn blenders en keukengadgets, bevond zich begin 2021 op de lijst van Magecart-slachtoffers. Hackers injecteerden kwaadaardige JavaScript in de checkout-pagina van de website van NutriBullet en schepten gedurende meerdere weken creditcardgegevens af van klanten.

Chinavasion

Chinavasion, een bekende Chinees e-commerceplatform gespecialiseerd in elektronica, werd in 2023 getroffen door een Magecart-aanval. Dit incident richtte zich ook op de checkout-pagina's om betalingsgegevens van internationale klanten vast te leggen. Hoewel de inbreuk niet zo groot was als sommige andere op deze lijst, was het significant vanwege Chinavasion's brede klantenbestand dat meerdere landen omspant.

Dick's Sporting Goods

In 2023 bevond Dick's Sporting Goods zich tussen de lijst van Magecart-slachtoffers toen aanvallers erin slaagden kwaadaardige scripts in hun betaalpagina te injecteren. De inbreuk trof een groot aantal klanten, maar de schaal en financiële gevolgen waren relatief minder ernstig in vergelijking met enkele van de meer uitgebreide aanvallen op deze lijst.

Marriott Hotels

Marriott Hotels voegde in 2023 een nieuw hoofdstuk toe aan zijn verontrustende geschiedenis met datalekken toen zijn online reserveringssysteem werd geviseerd door Magecart-aanvallers. De hackers injecteerden skimming-scripts om creditcardinformatie te stelen van klanten die online kamers boekten.

Er is een beetje een stijging in bezorgdheid over deze types aanvallen die zich richten op websites in de hotel- en vrijetijdsindustrie. De tijd zal leren of er meer voorvallen van aanvallen in deze sector plaatsvinden.

Hier spraken we over client-side attacks specifiek in de hotelindustrie.

Digitale portemonnees en cryptocurrency-exchanges

Van 2022 tot 2024 richtten Magecart-aanvallers hun focus op digitale portemonnees en cryptocurrency-exchanges, wat een verschuiving markeerde in hun typische doelen. Door kwaadaardige scripts te injecteren in webportemonnees en exchangeplatforms, konden ze niet alleen creditcardgegevens aftappen, maar ook digitale activa zoals cryptocurrencies.

Tijdens onze bètafase namen meerdere cryptocurrency-bedrijven en exchanges contact met ons op om samen te werken aan een vroege versie van een uitgebreide productomvang om hun sites te beschermen. Het is een echte zorg in deze industrie.

Hier is het verhaal van de Copay event-stream aanval die ook in de cryptoruimte plaatsvond. Kwaadaardige code zou routines uitvoeren die zochten naar en private keys en portemonneedetails extraheerden uit accounts met aanzienlijke hoeveelheden Bitcoin en Bitcoin Cash. Deze details werden vervolgens verzonden naar een externe server die door de aanvallers werd gecontroleerd.

Een paar laatste naamsverwijzingen:

Soccer[.]com
Shopify
Olympus
Tupperware
Fujifilm
Boom! Mobile
Procter & Gamble
Smith & Wesson
Puma
Crucial (Micron)
Elekta

Hoe je je site beschermt tegen Magecart-aanvallen

Net zoals we behandelden in de sectie "Wat we tot nu toe hebben geleerd over Magecart", is third-party JavaScript betrokken. Deze scripts worden client-side geladen (d.w.z. in de browser van de gebruiker), niet door de server van de website. En ze zijn dynamisch. Wat betekent dat ze van alles kunnen veranderen, wanneer dan ook, en zelfs op basis van parameters zoals het apparaat van de gebruiker, locatie en meer.

We hebben cside gebouwd om deze scripts te beveiligen tegen alles wat kwaadaardig is. We laden ze in een proxy voordat ze hun code uitvoeren in de browser van de gebruiker, en blokkeren ze indien nodig om de websitebezoekers volledig te beschermen. Natuurlijk waarschuwen we ook de website-eigenaar zodat ze de code kunnen inspecteren en indien nodig verwijderen.

Je kunt in enkele minuten gratis beginnen en je site beveiligen. Er zijn natuurlijk andere tools beschikbaar, bezoek onze vergelijkingspagina om te zien hoe we ons verhouden tot de concurrentie.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Het British Airways-datalek uit 2018 wordt nog altijd het meest aangehaald. Aanvallers injecteerden een skimmer in de boekingspagina en lekten kaartdata van zo'n 380.000 transacties. De ICO stelde eerst een recordboete voor en verlaagde die later.

De skimmer komt vaak uit een eerder vertrouwd third-party script of een vers geregistreerd look-alike-domein. Netwerkverdediging ziet niet wat in de browser draait — precies waar de kaartdata wordt afgevangen.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Beste oplossingen voor accountovernamebescherming vergeleken (2026)

Anti-fraudesuites, fingerprinting-tools en MFA vergeleken op wat ze dekken in de ATO-aanvalsketen. Vind de juiste stack voor uw risicoprofiel.

Hoe je AI-agents stopt die nepaccounts aanmaken (Gids)

AI-agents maken nepaccounts aan met echte browsers, residentiële IP's en gegenereerde identiteiten. Dit is de detectiesignaalstack om ze te stoppen.

Hoe blokkeer je AI-agent content scraping bots (Gids)

AI content scraping bots gebruiken echte browsers, residentiële IP's en LLM-extractie om je prijzen en content te oogsten. Zo stop je ze.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.