Cyberthreat.id – Toko online Sesame Street dan ribuan peritel lain menjadi sasaran pencurian kartu kredit. Pengumpulan detail informasi kartu kredit tersebut dilakukan oleh malware (perangkat lunak jahat) yang dijuluki “JavaScript Cookie”.

Cookie adalah serangkaian teks yang disimpan pada komputer pengguna oleh situs web yang telah dikunjungi. Umumnya cookie menyimpan pengaturan pengguna untuk suatu situs web tertentu. Ketika pengguna kembali ke situs web tersebut, peramban (browser) akan mengirimkan cookie yang bersesuaian kepada situs web yang bersangkutan.

Menurut Mozilla, Cookie dapat menyimpan berbagai jenis informasi, termasuk di antaranya informasi pribadi seperti nama, alamat rumah, alamat email, atau nomor telepon Anda. Akan tetapi informasi ini hanya akan disimpan jika Anda pernah memberikan informasi ini kepada situs tersebut.

“Situs web tidak dapat mengakses informasi yang tidak pernah Anda berikan kepada situs web tersebut, dan situs web juga tidak dapat mengakses berkas lainnya pada komputer Anda,” tulis Mozzilla.

Berkaitan dengan malware di toko Sesame Street, kode jahat itu ditemukan dalam perangkat lunak keranjang belanja yang dibangun oleh Volusion, perusahaan perangkat lunak yang khusus mengembangkan situs web e-commerce.

Masalah ini ditemukan oleh Marcel Afrahim, peneliti keamanan siber dari Check Point, perusahaan keamanan siber asal Israel, saat berbelanja mainan di toko Sesame Street.

Ia memperhatikan kode berbahaya ketika browsing di toko Sesame Street Live. Dalam sebuah blog, ia menulis bahwa situs web yang terkena imbas tidak hanya Sesame Street, juga kemungkinan besar situs web e-commerce yang di-hosting di Volusion, demikian tulis BBC yang diakses Kamis (10 Oktober 2019).

Ia mengaku telah mengontak Volusion, tetapi perusahaan tidak meresponsnya dengan baik untuk menghapus kode berbahaya itu.

Situs web Sesame Street saat ini tidak aktif. Tidak ada pesan yang berbunyi: "Kami sedang melakukan pemeliharaan terjadwal dan pembaruan di situs web."

Dua peneliti keamanan lainnya, dari Trend Micro dan RiskIQ, juga mengkonfirmasi masalah tersebu, seperti dikutip dari ZDNet.

Lebih dari 6.500 toko online terkena dampaknya, tetapi jumlahnya bisa lebih tinggi lagi. Volusion kini telah memiliki 20.000 pelanggan bisnis kecil—berdasarkan siaran pers pada September lalu.

Volusion belum memberikan komentar baik kepada BBC maupun ZDNet.

Insiden itu terjadi pekan ini setelah peretas memperoleh akses ke infrastruktur Google Cloud Volusion, tempat mereka memodifikasi file JavaScript dan memasukkan kode jahat yang mencatat rincian kartu yang dimasukkan dalam formulir online. Volusion adalah pelanggan Google Cloud Platform.

File yang dikompromikan dihosting di https://storage.googleapis.com/volusionapi/resources.js [bisa dicek di sini], dan dimuat di toko online berbasis Volusion melalui file /a/j/vnav.js.

ZDNet melaporkan, insiden itu oleh para pakar keamanan siber disebut sebagai serangan Magecart atau penyisipan kartu web, di mana penjahat mencuri detail kartu pembayaran dari toko online, bukan dari ATM. Jenis peretasan ini telah terjadi selama bertahun-tahun, tetapi mereka semakin intensif selama dua tahun terakhir.

Dalam sebuah laporan yang diterbitkan pekan lalu, RiskIQ mengatakan serangan Magecart telah mencapai puncaknya, dengan skrip pencurian kartu (skimmers) yang terlihat di lebih dari 18.000 situs web selama beberapa bulan terakhir.

Sebagian besar serangan Magecart terjadi ketika peretas menggunakan kerentanan di toko yang di-host sendiri untuk menanam kode skimmer di toko online yang sudah usang.

Terkadang, peretas juga berhasil menembus platform berbasis cloud–seperti kejadian di Volusion ini–atau perusahaan yang menyediakan widget, analitik, iklan, atau layanan sekunder lainnya ke toko online.

Seperti kasus terakhir terjadi pada Mei lalu ketika peretas menerobos infrastruktur cloud untuk tujuh perusahaan yang menyediakan layanan untuk toko online, antara lain Alpaca Forms, Picreel, AppLixir, RYVIU, OmniKick, eGain, dan AdMaxim.

Insiden Mei ditelusuri ke akun cloud-hosting perusahaan yang salah konfigurasi yang memungkinkan peretas untuk memodifikasi file yang ada tanpa izin. Insiden Volusion ini, tulis ZDNet, diketahui yang pertama ke Google Cloud.