Open source-platformen Magento bruges i stor stil verden over til at drive webshops og ifølge Magento selv bruges selskabets software af mere end 250.000 store og små e-butikker verden over.
Men sikkerhedsbrister i form af eksempelvis malware eller skimming/skimmerangreb plager i stor stil platformen. Faktisk i sådan en grad, at antallet af angreb mod platformen vokser hurtigere end salget af Magento-platformen til nye virksomheder.
»I dag ser vi to svindeltilfælde for hvert nye Magento-produkt, vi sælger. Sidste år oplevede næsten 50 pct. af købmændene at blive udsat for en eller anden type databrud,« siger Piotr Kaminski, senior product manager hos Magento.
Fra 2016 til 2017 er raten af svindel mod købmænd, der anvender Magento-platformen, steget med 30 pct, hvorfor man har overhalet raten for salg af platformen.
Og med det må Magneto også bringe en nedslående erkendelse overfor selskabets mange kunder:
»Ingen platform kan blive 100 pct. sikker,« siger Piotr Kaminski.
Masser eksempler på sikkerhedsbrud
Hjemme i Danmark var Magento-baserede Bahne.dk et levende eksempel på en e-handelshjemmeside, der både i oktober 2018og december samme år var udsat for hackerangreb.
Umiddelbart var intentionen for svindlernes side at høste betalingskortoplysninger på hjemmesidens kunder.
Derudover har sikkerhedsselskabet Sucuri tidligere i år advaret om, at samtlige af de mere end 250.000 e-handelstjenester på det tidspunkt kunne være udsat for sårbarheder, der kunne føre til en ‘katastrofal hackerkampagne’.
Github har også været nødsaget til at slette lister, der førte oversigt over 5.800 hjemmesider, heriblandt 29 danske, som var kompromitterede med kort-skimmings-malware.
Alle sammen målrettet Magento-baserede webshops.
Sikkerhedsopdateringer nedprioriteres
Magento og Adobe har med senior product manager Piotr Kaminski i spidsen en idé om, hvorfor brugere af platformen i så høj grad er udsat for angreb, der i flere tilfælde lykkes.
»Magento er et saftigt mål for denne type kriminelle, fordi det er er en af de mest anvendte platforme rundt om i verdenen. Angriberne er også klar over, at Magento-platformen kræver, at købmænd og hjemmesideinstallatører arbejder sammen, for at hjemmesiden og dens sikkerhed kan opdateres,« siger Piotr Kaminski, der mener at dette samarbejde i sig sig udgør en sikkerhedstrussel.
For samtidig med, at disse opdateringer er vigtige, hvis selskaberne vil have en sikker hjemmeside, oplever Piotr Kaminski, at selskaberne negligerer deres egne hjemmesider.
»Vi ser ofte, at firmaerne prioriterer features over sikkerhedsopdateringer på deres hjemmesider, og at de så aldrig får sikkerhedsopdateret hjemmesiden senere hen,« siger Piotr Kaminski, der understreger det vigtige i at holde sin hjemmeside opdateret, hvis man vil undgå sikkerhedsbrister.
Piotr Kaminski kommer derfor også med en bøn til de programmører, der installerer og designer Magento på vegne af selskaber, der vil åbne og administrere e-handelshjemmesider. Det er ifølge ham vigtigt, at man ikke benytter en uddateret udgave af Magento, fordi de kan indeholde sikkerhedsbrister, som svindlere er bekendte med.
»Please, please, please brug den nyeste udgave. Vi ser hjemmesider, der lanceres lige nu, som mere eller mindre er uddaterede med det samme,« siger Piotr Kaminski.
Piotr Kaminski anbefaler også firmaer og eksterne hjemmesideinstallatører at være påpasselige med brugen af gæstebrugere med administrator-rettigheder.
»Vi er også ofte vidne til, at uvelkomne svindlere får adgang til en hjemmeside via stjålne eller guest-admin accounts. Det gør sig især gældende, hvis et selskab anvender den samme adgangskode til flere brugere,« siger Piotr Kaminski. .