Hacker svaligiano i siti che usano Magento

Naviga SWZ: Home Page » News
News del 01 Luglio 15 Autore: Pinter
Hacker svaligiano i siti che usano Magento
Alcuni hacker sfruttano un bug sconosciuto all´interno del programma Magento per rubare i dati delle carte di credito dei clienti che usano i siti di questa piattaforma per le vendite online.
 
Magento è una piattaforma di e-commerce, di proprietà di eBay, così semplice da installare e gestire, che è stata scelta da moltissimi siti per metter su la loro parte di negozio online: Magento è usato da più di un milione di siti in tutto il mondo.

Un paio di mesi fa, alcuni hacker erano riusciti a infiltrarsi nei computer degli sviluppatori di Magento e ad aggiungere 50 linee di codice in più che si occupavano di dirottare presso un loro server tutti i dati delle carte di credito inserite.

Il sotterfugio era stato svelato in fretta, ma non si è ancora finito di sistemare i danni che è già tempo di occuparsi di un altro, grave, problema: Peter Gramantik, un ricercatore di sicurezza di Securi,  ha dichiarato sul blog dell´azienda di aver scoperto uno script che filtra tutti i dati delle carte di credito, li codifica e li rende disponibili a chi ha ordito l´attacco sfruttando un sistema molto ingegnoso.

Invece di inviare i dati a un server, che può essere identificato e chiuso, lo script salva le informazioni in un finto file Jpeg, codificandole in modo che solo il criminale possa leggerle.  Chiunque altro provi ad aprire "l´immagine" si ritrova davanti la tipica icona del file corrotto, ma il criminale che sa come scaricare correttamente il file recupera tutte le credenziali.

Sono già stati identificate diverse varianti di questo script, ma il vettore di attacco, cioè come questo script riesca a entrare nei siti di commercio elettronico, non è ancora chiaro.

È stato diramato un allerta a tutta la comunità, in modo che chi ha usato Magento per creare il proprio sito di e-commerce possa controllare se ci sono porzioni di codice malevolo sui loro server, ma è urgente cercare di capire come quest´ultimi entrino nei sistemi per poter chiudere la falla.

Nel frattempo, tenete sott´occhio i vostri estratti conto e attivate sia gli alert via SMS che il report quotidiano dei movimenti della carta: potranno risparmiarvi parecchie seccature.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

News Collegate