Du hast wohl das XX1 AXS Schaltwerk bestellt. Bei uns geht es um das X01 AXS SchaltwerkJa, bei mir schon kurz vor Weihnachten angekommen. Bestellt am 23.11. für 280 inkl. Versand.
Anhang anzeigen 1849959
Folge dem Video um zu sehen, wie unsere Website als Web-App auf dem Startbildschirm installiert werden kann.
Anmerkung: This feature may not be available in some browsers.
Du hast wohl das XX1 AXS Schaltwerk bestellt. Bei uns geht es um das X01 AXS SchaltwerkJa, bei mir schon kurz vor Weihnachten angekommen. Bestellt am 23.11. für 280 inkl. Versand.
Anhang anzeigen 1849959
Meine ist noch en courseDie 170er aus dem NL heute. Wurde bei allen Zahlern storniert soweit ich das rauslesen konnte.
same here, still in progress (en cours)Meine ist noch en course
Meine ist noch en course
same here, still in progress (en cours)
Ok, stimmt! Genaues lesen hilft.
hatte meine am 19.12. bestellt, die ist nun auch vollständigDas ging flott. CRC 1400 vom 2.1. auf complete gesprungen
Moin,
kriege jetzt seit heute früh bei allen Zugriffen via Newsletter oder RCZ-Internetseite eine Warnung meines ESET Internet Security: Bedrohung "JS/Spy.Banker.KJ Trojaner"
Habe ich nicht die Tage hier irgendwas von Hacking o.ä. gelesen???
Kriegt noch wer eine Meldung?? Leider gerade hier nur kurz am Rechner. Muss nachher mal genauer (und vor allem in Ruhe) schauen.
Ein weiteres SRAM Produkt wie Kettenschloss mit in den Warenkorb legenDiese XO Kurbel wo der Code nicht funktioniert hatte ist wiede im NL. Code funkt bei mir wieder nicht, hat es von euch einer geschafft ?
Der zusätzliche Artikel muss aus dem selben Lager kommen. Dann klappt es.Dann klappt es aber mit der Versandart nicht
Natürlich tut es das. Ist ja der gleiche Dämpfer drin nur hochwertiges Material verbaut, uA Carbon statt Alu Käfig Vorderseite.
Es geht also doch wieder los. Die 1x KK (von z.B. Revolut) also weiterhin alternativlosHm gerade mal geguckt.
Der Newsletter selber ist nicht das Problem sondern der Newsletter verlinkt auf die RCZ-Seite und die ist das Problem.
Auf der RCZ Seite wird scheinbar beim Checkout ein "verdächtiges" Script ausgeführt welches dann wiederrum ein Script von einer externen Seite lädt und dieses ausführt.
Siehe hier:
https://sitecheck.sucuri.net/results/https/www.rczbikeshop.com
malware.magento_shoplift
Description: Malicious scripts injected to Magneto (and other e-commerce) sites that try to steal payment details and site credentials from website forms. Typically the hijack login and checkout forms and send entered data to a remote third-party site controled by the attackers. Sometime the script may redirect online shoppers to fake checkout pages.
Ich habe mal ne Mail an rcz geschrieben und nachgefragt was da los ist.....
Ganz offensichtlich hat da irgendjemand schädliches JavaScript eingeschleust. Ganz am Anfang der Seite wird eine Datei von der dort obfuskierten Domain aisudop[dot]site nachgeladen. Darin ist derzeit nur eine Referenz zum JavaScript des Projekts cross-fetch auf unpkg.Ich habe mal ne Mail an rcz geschrieben und nachgefragt was da los ist.....
Ganz offensichtlich hat da irgendjemand schädliches JavaScript eingeschleust. Ganz am Anfang der Seite wird eine Datei von der dort obfuskierten Domain aisudop[dot]site nachgeladen. Darin ist derzeit nur eine Referenz zum JavaScript des Projekts cross-fetch auf unpkg.
Nachgeladen wird nur, wenn man sich im Checkout befindet. Ich habe gerade einen Testlauf gemacht und DERZEIT scheint es noch so zu sein, dass Kreditkartenzahlungen korrekt auf saferpay umgeleitet werden. Auch wurden noch keine Daten zu einem fremden Host weitergeleitet. Ich denke, dass da bald angesetzt werden wird. Wer auch immer aisudop[dot]site kontrolliert, kann das jedenfalls jederzeit ändern. Das gilt auch für die angezeigten Bankverbindungen, eingegebene Passwörter oder Adressdaten.
Gibt es jetzt konkreten Handlungsbedarf unsererseits?Ganz offensichtlich hat da irgendjemand schädliches JavaScript eingeschleust. Ganz am Anfang der Seite wird eine Datei von der dort obfuskierten Domain aisudop[dot]site nachgeladen. Darin ist derzeit nur eine Referenz zum JavaScript des Projekts cross-fetch auf unpkg.
Nachgeladen wird nur, wenn man sich im Checkout befindet. Ich habe gerade einen Testlauf gemacht und DERZEIT scheint es noch so zu sein, dass Kreditkartenzahlungen korrekt auf saferpay umgeleitet werden. Auch wurden noch keine Daten zu einem fremden Host weitergeleitet. Ich denke, dass da bald angesetzt werden wird. Wer auch immer aisudop[dot]site kontrolliert, kann das jedenfalls jederzeit ändern. Das gilt auch für die angezeigten Bankverbindungen, eingegebene Passwörter oder Adressdaten.
Gibt es jetzt konkreten Handlungsbedarf unsererseits?
Andere Adresse angeben? Nichts mit KK zahlen? Gar nicht kaufen momentan?
Edit: Danke fürs checken!
Also ich würde da momentan gar nichts kaufen. Wenn du unbedingt etwas kaufen willst, dann rechne damit, dass deine Adressdaten abgegriffen werden könnten. Wenn du mit KK bezahlst, unbedingt darauf achten, dass du auch bei saferpay landest und nicht irgendwo anders. Selbst dann weißt du zwar nicht sicher, an wen du bezahlst, aber deine Daten sollten nicht abfließen können. Wenn du per Überweisung zahlst, dann nur an die dir bekannte IBAN. Nicht auf die angezeigte vertrauen, wer weiß, wem die gehört.Gibt es jetzt konkreten Handlungsbedarf unsererseits?
Andere Adresse angeben? Nichts mit KK zahlen? Gar nicht kaufen momentan?
ich würde aktuell nichts kaufen.
Am 11.01 wurde auch eine CSV auf breachforum.is mit folgenden Kundenstammdaten veröffentlicht:
ID,Name,Email,Group,Telephone,ZIP,Country,State/Province,"Customer Since",Website,"Don`t Sell My Personal Information"
Die ganze RCZ Website ist scheinbar kompromittiert....
Also ich würde da momentan gar nichts kaufen. Wenn du unbedingt etwas kaufen willst, dann rechne damit, dass deine Adressdaten abgegriffen werden könnten. Wenn du mit KK bezahlst, unbedingt darauf achten, dass du auch bei saferpay landest und nicht irgendwo anders. Selbst dann weißt du zwar nicht sicher, an wen du bezahlst, aber deine Daten sollten nicht abfließen können. Wenn du per Überweisung zahlst, dann nur an die dir bekannte IBAN. Nicht auf die angezeigte vertrauen, wer weiß, wem die gehört.
Auch wenn ich jetzt nicht den Teufel an die Wand malen will und das was hier passiert ist wahrscheinlich eher eine relativ harmlose Kleinigkeit ist: Es sind schon Unternehmen an Angriffen pleite gegangen. Wir wissen derzeit nicht, worauf die Angreifer Zugriff haben und an welche Daten sie schon gekommen sind. Aber um das zu ändern haben sie schon irgendeinen Zugriff auf das Shopsystem oder den Server und könnten von da aus auch an die Datenbank gelangt sein. Im schlechtesten Fall könnten deine bezahlten Bestellungen also auch von dort "verschwinden".
Ich mache übrigens bei jeder Bestellung einen Snapshot der Produktseite mit archive.org, falls Nieves hinterher was ändert. Demnach war gestern gegen Mittag dort noch alles in Ordnung. Was nicht heißt, dass nicht schon früher Zugriffe auf den Server oder das Shopsystem erfolgt sind.
Gibt es jetzt konkreten Handlungsbedarf unsererseits?
Andere Adresse angeben? Nichts mit KK zahlen? Gar nicht kaufen momentan?
Edit: Danke fürs checken!
Zu spätSollten wir dann erstmal eine falsche Adresse hinterlegen?
Mit den Settings gehts bei der login (whitelist kann man sicher noch weiter reduzieren):und ich hab Umatrix wieder deaktiviert, weil sonst der login bei rcz (bei mir) nicht funktioniert.
Du hast ja auch alte Bestellungen, bei denen du die Daten nicht mehr ändern kannst. Würde also nicht viel bringen. Es gibt die verschwindend geringe Chance, dass es sich hier nur um einen Angriff auf die Browser handelt. In diesem Fall würde es reichen, nichts mehr zu bestellen, die Seite besser nicht mehr aufzurufen. In allen anderen Fällen ist es zu spät.Sollten wir dann erstmal eine falsche Adresse hinterlegen?