Kreditkartendaten in Gefahr
Sicherheitslücke im Magento-System
Eine Sicherheitslücke im Magento-Shopsystem erlaubt es Angreifern, Schadcode einzuschleusen und Daten abzugreifen.
Das bekannte und vor allem bei Ebay-Shops eingesetzte Shopsystem Magento hat mit einer Sicherheitslücke zu kämpfen, wie Sicherheitsforscher von »Sucuri« berichten. Offenbar ist es Angreifern möglich, durch eine bislang noch nicht bekannte Sicherheitslücke Schadcode in das System einzuschleusen. Anschließend können die Kriminellen Anfragen im System auslesen und Daten abgreifen. Welche Lücke genau die Angriffe ermöglicht, ist derzeit noch unklar. Die Experten vermuten eine Schwachstelle im Herzstück des Magento-Codes selbst oder in einem der zahlreichen Module und Erweiterungen des Shopsystems.
Während die Anfragen vom eingeschleusten Programm ausgelesen werden, schreibt ein Skript genau die Befehle mit, welche Daten von Kreditkarten beinhalten. Anschließen verschlüsseln die Anbieter laut Sucuri die gesammelten Informationen und speichern sie in einer falschen Bilddatei. Nach und nach wird so laut den Sicherheitsexperten eine Datenbank mit den entwendeten Daten aufgebaut.
Gleichzeitig weisen die Sucuri-Mitarbeiter darauf hin, dass noch eine weitere Sicherheitslücke bei Magento existiert: Auch über das Checkout-Modul können Zahlungsdaten abgefragt werden, bevor die eigentliche Transaktion stattgefunden hat.
