Redirect naar advertentienetwerk via zorginstelling

Kan iemand mij uitleggen waarom ik op een hele hoop popups en advertenties terecht kom als ik de volgende website bezoek zodra ik deze in een privacy-tab bezoek:

Stap 1 surf naar:
me dinello . nl

Stap 2:
scroll naar onder naar de vestigingen en kies Nijmegen.

Na een paar secondes vliegen de popups en reclamesites me om de oren.

Nu komen er onschuldige advertenties in beeld voor Casino's Ali-express enz. enz. maar kwaadaardige links kunnen natuurlijk ook...

Voor een zorginstelling lijkt me dit een heel slordig en lek in Wordpress toch?

Het komt echt alleen maar voor als je voor het eerst de website bezoekt. Daarna stoppen de redirects.

[ Voor 0% gewijzigd door F_J_K op 11-03-2024 16:15 . Reden: Zie mn reactie straks ]

pennywiser schreef op maandag 11 maart 2024 @ 15:47:
Wordpress gehackt?

Niet zoveer Wordpress natuurlijk maar een of andere plugin. Je snapt de strekking toch wel. Deze website is gemaakt met Wordpress en als de beheerder de updates niet tijdig uitvoert krijg je dit soort gedoe.

Zowel iPhone als Samsung en in browser maar voor de browser moet ik wel de adblocker uitzetten en de Pihole uitschakelen.

Screenrecording van iPhone:
https://vimeo.com/922059307

[ Voor 22% gewijzigd door vj_slof op 11-03-2024 16:06 ]

D4NG3R schreef op maandag 11 maart 2024 @ 16:10:
Interessant, op m'n desktop zie ik dit niet, ongeacht wat ik probeer qua wel/geen adblocking. Op m'n telefoon is het direct raak.

Daar lijkt inderdaad wat mis te gaan, wellicht even een mailtje uitzetten. Elke keet kan een infectie oplopen, voor het zelfde geld niet eens direct bij hun maar bij een leverancier waar ze een script van hebben draaien.

Bedankt! Ik heb ze reeds gebeld. In eerste instatie werd het niet geloofd, maar toen ik uitlegde dat ze het op een mobiele telefoon eens moesten proberen in een privacy-tab of venster ging het daar ook goed mis. Hopelijk pakken ze het aan.

F_J_K schreef op maandag 11 maart 2024 @ 16:19:
A: de kans is aanwezig dat er bij bezoek aan die pagina ook malware wordt gepresenteerd aan de bezoeker, dus je wilt niet vragen dat 'willekeurige' mensen het bekijken. En je wilt er als bezoeker NIET op klikken op een productiemachine. Ik heb de link daarom nog wat meer onklikbaar gemaakt

B: wij kunnen niet helpen, meld het ajb direct bij Medinello. Via https://medinello.nl/.well-known/security.txt vragen ze dat telefonisch te doen. Maar aangezien de site is 'gehackt' zou ik adviseren het ook via een ander kanaal te doen omdat je er niet meer van uit kunt gaan dat die info per se klopt. (Het telefoonnummer is verder niet te vinden via Google)

Edit: al zie ik nu dat het telefoonnummer zit in het zelfde bereik als de andere nummers van ze, en dan waarschijnlijk juist wel de goede directe route. Ik kan zelf niet bellen omdat ik wegens A het niet heb kunnen constateren (werklaptop op werk, daar ga ik niet klikken)

Het telefoonnummer in de security.txt klopt maar +31885670110 googelen werkt niet. 088-5670110 werkt wel.

Inmiddels weer een dag verstreken en het is nog niet opgelost. Ik krijg nu wel een melding in de browser (Safari) op de iPhone waarin om toestemming wordt gevraagd om een pop-up te openen. Als ik daarna op een andere vestiging klik dan begint het feest weer van voor af aan en openen allerlei vensters met de ene na de andere advertentie.


Java-console in de browser geeft verontrustende links:


Ik begin me inmiddels wel zorgen te maken over de competentie van deze instelling. Mijn vriendin heeft een tijd geleden haar medisch dossier bij deze zorginstelling moeten inleveren via de inlogknop bovenin de website: MIJN MEDINELLO en werd toen doorverwezen naar:
https://www. mijn medischdossier.nl/authenticatie/inloggen?return=%2Fhome

Hopelijk gaan ze daar wel goed om met gegevens?



Ik heb ook een video-opname van de console gemaakt in de webbrowser Edge:
YouTube: IMG 1318

Zodra ik de vestiging Nijmegen bezoek op de website van medinello.nl lopen deze scripts en kom ik uiteindelijk op een waarschuwing uit op de browser.

[ Voor 36% gewijzigd door vj_slof op 12-03-2024 12:37 ]

BytePhantomX schreef op dinsdag 12 maart 2024 @ 15:12:
[...]


Ik snap je gevoel en zou waarschijnlijk hetzelfde hebben, maar zo op het eerste gezicht lijkt die site van het medisch dossier niet van medinello zelf te zijn. Maar een generiek platform dat door meerdere partijen wordt gebruikt.
En ik zou verwachten dat daar andere normen gelden dan voor de publieke website.

Maar bijzonder is het wel.

Een keylogger laden voordat men naar die site voor het persoonlijk medisch dossier gaan en klaar toch?

Een kwaadaardig persoon kan de link naar de website van het medisch dossier vervalsen en de website namaken en daar de inloggegevens verzamelen. Deze website is gecompromitteerd maar blijkbaar boeit het Medinello, de hoster (vimexx) en de webdesiger helemaal niks want de troep staat er nog steeds op.

Het is eindelijk opgelost. Mag op slot.

kodak schreef op woensdag 13 maart 2024 @ 12:33:
Ik vraag me af wat er nu wel en niet opgelost is. De site geeft zo te zien ook toegang tot persoonlijke documenten en lijkt gemaakt om mogelijk betalingen mee te doen. Het is hoe dan ook al gevoellig als een crimineel inzicht kan krijgen in wie de site bezoekt. Dan is het stoppen van de verwijzingen niet hetzelfde als verhelpen.

Mijn vermoeden is dat hier melding van gedaan hoort te worden naar toezichthouders. Als dit een besmetting was dan had men geen controle over het beschermen van de klanten die de website bezochten. Men kon niet in staan voor de content en de gevolgen. En die controle heeft men niet zomaar terug door bijvoorbeeld een update of weghalen van foute code. En controle over wat de crimineel bemachtigd heeft hebben ze er ook niet mee.

Welke toezichthouder?

dutchgio schreef op woensdag 13 maart 2024 @ 13:13:
[...]

Je moet het ook niet groter maken dan het is, hierboven werd al aangegeven dat de medische dossier link waarschijnlijk van een andere partij is. En daar waren de redirects niet aanwezig.
Malafide advertenties is ook wel wat anders dan contrle of het bemachtigen van persoonlijke data. Dat is niet aangetoond.

De advertenties werden pas geserveerd op het moment dat er op een vestiging werd geklikt. Zo'n zelfde script kan natuurlijk ook onder de knop om in te loggen op het patientendossier gezeten hebben. De onderliggende website namaken / copieren is een koud kunstje, dat zou ik zelfs kunnen. Als mensen dan daar hun inloggegevens op ingeven kunnen ze opgevangen worden.

in dit geval wordt er om een telefoonnummer en een pincode gevraagd. Of hier achter een 2FA zit weet ik niet maar het telefoonnummer van de client en zijn pincode zijn dan al in handen van een ander.

Voor zover ik nu heb kunnen zien in de console van mijn browser en packet-inspector (wireshark) zie ik geen links meer naar rare externe servers voorbijkomen. Maar hier houdt mijn kennis verder ook wel op.



Wat doet dat r3.o.lencr.org daar ?
edit: nevermind is iets van letsencrypt toch?

[ Voor 15% gewijzigd door vj_slof op 13-03-2024 13:35 ]

Ik heb 2 .js-bestanden welke extern gelinkt stonden van de website veiliggesteld. Kan ik deze ergens uploaden ter inzage door iemand die verstand heeft van javascript?

[ Voor 9% gewijzigd door vj_slof op 13-03-2024 14:37 ]