Magento e-handel Extensions hackade, kreditkort skimmades på Smith & Wesson och Macy’s

In Adobe Magento 2, E-handel, Nyheter, Open source PHP by Martin Edenström

Vissa scenarios hade kanske kunnat undvikas med en, säg helt molnbaserad SaaS e-handelsprodukt á la gamla Demandware. Men det förvärvet hamnade istället hos molnfränden Salesforce och så blev Adobe, för 14,6-miljarder kronor, ägare av en open source e-handelsplattform med hela 10 000 (!) Extensions eller egna Plugins utvecklade av communityn.

Just det stora antalet har i marknadsmaterial under 2019 lyfts fram som en enorm styrka, vilket det är. Men det finns även risker med att låta så stora delar av en paketering och slutleverans ligga hos externa, inte alltid helt betrodda parter. Det visade sig under slutet av året, och ännu värre under Black Friday-aktiviteten, när prestigekunden Smith & Wesson fick besök av hackare som under flera dagar lyckats få in skadlig kod på Adobe Magento e-handeln där de försökte fiska och skimma efter kunders kreditkortsuppgifter.

Säkerhetsföretaget Sanguine Security och säkerhetskonsulten Willem de Groot har sagt att hackarna använde sårbarheter i Magneto e-handelsprogramvaran via Extensions för att få in egna Javascript-baserade mjukvaran. Hacket kallas för “Magecart” attacken och även varuhuset Macy’s har rapporterat att deras webb drabbats av en liknande attack där macys.com checkout sida injekterades av extern kod. Det ska finnas runt 20-talet aktiva plugins som lider av PHP Object Injection (POI) problemet (via PHP unserialize() funktionen) som tillåter att fejkade checkout-sidor genereras. Detta lär vara en av anledningarna till att Adobe nästa år så snabbt som möjligt vill stänga ned allt som har med äldre versioner av Magento att göra.

Smith & Wesson har nu i december lyckats få bort koden från sin Adobe Magento e-handel. Säkerhetsexperter som Astra berättar att dessa attacker pågått sedan 2014 i olika former och är svåra att värja sig mig. De rekommenderar alltid att säkerhetsprotokoll på Magento open source följs.

Beställarstöd inom e-handel och CX

MKSE.com har data och kunskap från över 15 000 svenska upphandlingar och plattformsval. Fatta rätt beslut. Gör som SJ, Avanza, KI och Telia. Anlita en expert inom området. Kontakta oss idag.

⬇ Fyll i formuläret nedan eller klicka för att e-posta oss