Hackers hebben zes maanden lang creditcardgegevens kunnen stelen van klanten van Magento-webwinkels wereldwijd. Zo’n 3,500 shops zijn slachtoffer van de fraude, waaronder 88 Nederlandse online winkels.
Magento stuurde vannacht een waarschuwingse-mail naar al zijn gebruikers waarin het uitleg geeft van de recent ontdekte fraude, meldt Byte, een Nederlandse partij in Magento hosting. Volgens berichten konden hackers het afgelopen half jaar op een geautomatiseerde wijze de betaalgegevens van webwinkelklanten stelen.
Browserniveau
‘Het lijkt erop dat de informatie niet op serverniveau, maar al op browserniveau wordt gestolen. Dus direct als de klant zijn gegevens intypt’, schrijft Byte in een persbericht. ‘Door de server te omzeilen heeft het langer geduurd voordat het door beveiligingsystemen werd opgepikt.’ Naast Magento-webwinkels zouden ook andere online verkopers het doel kunnen zijn van hackers.
Virtuele pleisters
Byte trok in september al aan de bel toen uit onderzoek bleek dat 80 procent van de Magento-webwinkels onveilig was. Het systeem zou vol lekken zitten, variërend van ‘zeer hypothetisch’ tot ‘groot gapend gat’. Magento stelde hier verschillende patches voor beschikbaar, die webwinkeliers zelf op hun winkel moeten ‘plakken’.
Het blijft teleurstellend om te zien hoeveel webshops met deze essentiële zaken achterblijven. Dit terwijl veel updates en patches geautomatiseerd door te voeren zijn.
Van het hoge aantal webshops wat er onbeveiligd bij staat en zelfs importtools, data dumps en andere gevoelige data of openingen heeft, schrikken wij toch wel.
Magento is een fantastisch product, maar het verdient wel de aandacht en het onderhoud wat het behoeft. Helaas wordt dit helaas niet altijd uitgevoerd, wat in feite in de markt zorgt voor een lichte afbreuk op het imago van Magento.
Fijn dat Byte hier zoveel aandacht aan geeft. Verbazingwekkend dat merchants het onderdeel beveiliging veelal erg onderschatten.
Maar goed het is al sinds de start van mijn carriere in de it dat bedrijven bezuiningen op documentatie en beveiliging.
Wat dacht je van alle shops die ooit 'gekocht' zijn, dus ergens als product zonder bijbehorende service/updates zijn afgenomen. Die nu nog 1.4/1.5 draaien. Geen kennis in huis om ze bij te houden en waarbij alles te duur is... Die zijn er stiekem nog best wat...
Een nadeel van Magento is de nogal gedateerde manier van updaten. Je hebt hier doorgaans shell toegang tot de webserver voor nodig. Je moet patches achter een beveiligde omgeving downloaden, en deze moeten allemaal op de juiste volgorde gepatched worden.
Dit had wat mij betreft via de beheerders interface mogelijk moeten zijn, zoals bijvoorbeeld in Wordpress. Juist door deze omslachtige procedure krijg je veel slecht geupdate magento installaties.
Dat is bij CubeCart beter geregeld, dara kun je vanuit de admin de update door een druk op de knop uitvoeren.
En je wordt door het systeem op de hoogte gebracht dat er een update klaar staat.