Abo
  • Services:

Statcounter/Gate.io: Gehacktes Statistiktool klaut Bitcoin

Der Webseiten-Statistikanbieter Statcounter wurde gehackt. Dabei fügten die Angreifer Javascript-Code ein, der auf Kunden der Bitcoin-Plattform Gate.io abzielte.

Artikel veröffentlicht am , Hanno Böck
Kunden von Gate.io, einer Bitcoin-Handelsplattform, wurden von einer Javascript-Schadsoftware bestohlen.
Kunden von Gate.io, einer Bitcoin-Handelsplattform, wurden von einer Javascript-Schadsoftware bestohlen. (Bild: Mike Cauldwell/Wikimedia Commons)

Ein gehacktes Skript des Statistikanbieters Statcounter zielte darauf ab, Kunden der Bitcoin-Plattform Gate.io zu bestehlen. Darüber berichtete die Webseite ZDnet. Das gehackte Skript änderte die Empfängeradresse bei Bitcoin-Transaktionen. Der entsprechende Code wurde inzwischen entfernt und Gate.io nutzt Statcounter nicht mehr.

Stellenmarkt
  1. ESO Education Group, deutschlandweit (Home-Office möglich)
  2. Hays AG, Heilbronn

Statcounter ist ein Statistiktool für Webseiten, vergleichbar mit Google Analytics. Um den Service zu nutzen, fügen Kunden von Statcounter deren Javascript-Code auf ihrer Webseite ein. Dieser Code wurde laut der Sicherheitsfirma ESET am 3. November 2018 durch eine Version mit Schadcode ersetzt. Inzwischen ist der Schadcode entfernt, wir konnten die Angaben von ESET aber anhand einer über Wayback Machine abrufbaren alten Version der entsprechenden Javascript-Datei nachvollziehen.

Angriff zielt auf Bitcoin-Plattform

Der Code wurde aktiv, wenn eine URL mit einem bestimmten Pfad (myaccount/withdraw/BTC) aufgerufen wurde. Dabei handelt es sich um einen Pfad, der vom Service Gate.io genutzt wird. Gate.io ist eine Bitcoin-Handelsplattform, die auf den Caymaninseln gemeldet ist.

Das Skript änderte bei Bitcoin-Transaktionen über Gate.io die Empfängeradresse. Laut ESET wurde dabei jedes Mal eine neue Empfängeradresse generiert. Somit lässt sich nicht feststellen, wie viele Gate.io-Kunden betroffen waren und wie viel Bitcoin gestohlen wurde.

Statcounter ist ein relativ häufig genutzter Statistikservice, allerdings zielt er eher auf kleinere Kunden ab. Bekannte Webangebote findet man bei den Kunden nicht. Insgesamt nutzen jedoch mehrere Hunderttausend Webseiten den Service.

Der von ESET gefundene Angriff zielte aber offenbar nicht auf alle Kunden von Statcounter, sondern nur auf Gate.io. Wir haben Statcounter und Gate.io um ein Statement gebeten, eine Antwort haben wir bislang nicht erhalten.

Generell ist es immer mit Risiken verbunden, wenn Webseiten Javascript-Code von anderen Services einbinden. Wenn ein solcher Service gehackt wird, können die Angreifer potenziell sehr viele Webseiten kontrollieren. Schützen vor solchen Angriffen kann die Verwendung von Subressource Integrity, allerdings ist dies bislang wenig verbreitet.



Anzeige
Spiele-Angebote
  1. 46,99€
  2. (-78%) 12,99€
  3. 39,99€ (Release 14.11.)
  4. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)

conker 08. Nov 2018 / Themenstart

Ich hasse 3rd Party Scripts. Die nerven unheimlich. Ich hab uBlock & uMatrix schon seit...

Kommentieren


Folgen Sie uns
       


V-Rally 4 - Golem.de live

Michael schaut sich die PC-Version von V-Rally 4 an, die in einigen Punkten deutlich besser ist als die Konsolenfassung.

V-Rally 4 - Golem.de live Video aufrufen
Wet Dreams Don't Dry im Test: Leisure Suit Larry im Land der Hipster
Wet Dreams Don't Dry im Test
Leisure Suit Larry im Land der Hipster

Der Möchtegernfrauenheld Larry Laffer kommt zurück aus der Gruft: In einem neuen Adventure namens Wet Dreams Don't Dry reist er direkt aus den 80ern ins Jahr 2018 - und landet in der Welt von Smartphone und Tinder.
Ein Test von Peter Steinlechner

  1. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller
  2. Adventure Leisure Suit Larry landet im 21. Jahrhundert

NGT Cargo: Der Güterzug der Zukunft fährt 400 km/h
NGT Cargo
Der Güterzug der Zukunft fährt 400 km/h

Güterzüge sind lange, laute Gebilde, die langsam durch die Lande zuckeln. Das soll sich ändern: Das DLR hat ein Konzept für einen automatisiert fahrenden Hochgeschwindigkeitsgüterzug entwickelt, der schneller ist als der schnellste ICE.
Ein Bericht von Werner Pluta


    Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
    Dark Rock Pro TR4 im Test
    Be Quiet macht den Threadripper still

    Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
    Ein Test von Marc Sauter

    1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

      •  /