FunnelKit WordPress-plugin lek stelt kaarten veilig

Een ernstige beveiligingskwetsbaarheid in de FunnelKit Funnel Builder-plugin voor WordPress wordt naar verluidt actief misbruikt door aanvallers om betaalkaartgegevens van klanten te stelen tijdens het afrekenen. Volgens BleepingComputer treft het lek alle versies van de plugin vóór 3.15.0.3 en kan het worden misbruikt zonder enige inlog of authenticatie.

Wat gebeurt er?

Volgens BleepingComputer richten aanvallers zich op een onbeveiligd checkout-eindpunt in de plugin. Hierdoor kunnen zij de algemene instellingen van de plugin wijzigen zonder wachtwoord of account. Eenmaal binnen injecteren zij kwaadaardige JavaScript-code in een instelling genaamd "External Scripts", die vervolgens op elke kassapagina wordt uitgevoerd die uw klanten bezoeken.

De geïnjecteerde code is naar verluidt vermomd als een nep-Google Tag Manager- of Google Analytics-script, waardoor het moeilijk te herkennen is. Het opent een verborgen verbinding met een externe server en levert een betaalkaartskimmer af: een stukje code dat stilletjes gevoelige informatie kopieert terwijl klanten die invoeren. Volgens BleepingComputer kan de gestolen data creditcardnummers, CVV-codes, factuuradres en andere klantgegevens bevatten.

De plugin is naar verluidt actief op meer dan 40.000 websites, aldus BleepingComputer.

Wat heeft FunnelKit gedaan?

FunnelKit heeft versie 3.15.0.3 van de Funnel Builder-plugin uitgebracht om de kwetsbaarheid te verhelpen. Het bedrijf raadt websitebeheerders aan om via het WordPress-dashboard onmiddellijk bij te werken naar deze versie. FunnelKit adviseert ook om Instellingen > Checkout > External Scripts te controleren op verdachte scripts die een aanvaller mogelijk al heeft toegevoegd.

Het is vermeldenswaard dat deze berichtgeving afkomstig is van BleepingComputer, een secundaire nieuwsbron, en niet van een directe leveranciersadvisory of officiële regelgevingsbeslissing. De kwetsbaarheid heeft volgens BleepingComputer nog geen officieel CVE-identificatienummer ontvangen.

Stappen die u nu moet nemen

Als u de FunnelKit Funnel Builder-plugin gebruikt in uw WooCommerce-winkel, doe dan het volgende:

• Update onmiddellijk naar versie 3.15.0.3 of hoger via uw WordPress-dashboard
• Controleer uw External Scripts-instelling onder Instellingen > Checkout > External Scripts en verwijder alles wat u niet herkent
• Bekijk uw website aan de hand van onze beveiligingschecklist voor kleine bedrijven
• Lees meer over het veilig houden van WordPress-plugins

Wat betekent dit voor uw website?

Als u een webwinkel beheert met WooCommerce en de FunnelKit Funnel Builder-plugin, kunnen de betaalgegevens van uw klanten gevaar lopen als u nog niet heeft bijgewerkt. Het tijdig bijwerken van uw plugins is een van de meest directe manieren om uw klanten en uw bedrijf te beschermen. Zelfs als u niet zeker weet of uw website is getroffen, kost het controleren van de External Scripts-instelling niets en duurt het slechts een paar minuten.

Als bij een aanval klantgegevens zijn gestolen, kan dit gevolgen hebben onder de AVG. Overweeg in dat geval of u een datalek moet melden bij de Autoriteit Persoonsgegevens.