Karu löydös: Ihmisten tiedot vietävissä tuhansista verkkokaupoista

Julkaistu:

Haavoittuvuudet
Suositusta Magento-verkkokauppaohjelmistosta paikattiin vakava haavoittuvuus.
Jopa sadoissa tuhansissa verkkokaupoissa ympäri maailman käytetystä Magento-verkkokauppaohjelmistosta löytyi haavoittuvuuksia, joista etenkin yksi herättää huolta. Traficomin Kyberturvallisuuskeskus kertoo, että tämä aukko mahdollistaa hyökkäykset palveluita vastaan ilman kirjautumista.

Tietoturvayhtiö Sucurin mukaan hyökkääjä voi vakavimman aukon avulla saada haltuunsa verkkokauppojen käyttäjänimiä ja suojattuja salasanoja. Hyökkäyksen voi myös automatisoida tehden siitä huomattavasti vaarallisemman.

– Tällöin rikolliset voivat murtautua jopa tuhansiin päivittämättömiin Magento verkkokauppoihin hyvinkin nopeasti, Kyberturvallisuuskeskus korostaa.

Haavoittuvuudet on paikattu, eikä hyökkäyksistä ole toistaiseksi havaintoja. Sucuri ei ole paljastanut aukkojen yksityiskohtia, jotta niihin ei voitaisi luoda hyökkäyskoodia.

Vaarassa on niin Magenton Commerce- kuin Open Source -versio. Turvalliset versiot ovat 2.3.1, 2.2.8 ja 2.1.17. Aukkojen korjaaminen on verkkokauppojen ylläpitäjien vastuulla.

Tavallisen kuluttajan ei tarvitse tehdä mitään, eikä tämä asialle mitään voi tehdäkään. Tavalliset ihmiset eivät voi yleensä nähdä, mitä alustaa verkkokauppa käyttää ja onko se ajan tasalle päivitetty.

Magentosta korjattiin vakavia haavoittuvuuksia myös esimerkiksi vuonna 2016. Tuolloin uhkana oli koko verkkokaupan koodin uusiksi kirjoittaminen.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt