Efter adskillige angreb mod webshops erkender Magento: »Ingen platform kan blive 100 pct. sikker«

Magento og Adobe er klar med nye sikkerhedsopdateringer til Magentos e-handelsplatform, der har været udsat for massevis af malware- og skimmerangreb gennem årene.

Open source-platformen Magento bruges i stor stil verden over til at drive webshops og ifølge Magento selv bruges selskabets software af mere end 250.000 store og små e-butikker verden over.

Men sikkerhedsbrister i form af eksempelvis malware eller skimming/skimmerangreb plager i stor stil platformen. Faktisk i sådan en grad, at antallet af angreb mod platformen vokser hurtigere end salget af Magento-platformen til nye virksomheder.

»I dag ser vi to svindeltilfælde for hvert nye Magento-produkt, vi sælger. Sidste år oplevede næsten 50 pct. af købmændene at blive udsat for en eller anden type databrud,« siger Piotr Kaminski, senior product manager hos Magento.

Fra 2016 til 2017 er raten af svindel mod købmænd, der anvender Magento-platformen, steget med 30 pct, hvorfor man har overhalet raten for salg af platformen.

Og med det må Magneto også bringe en nedslående erkendelse overfor selskabets mange kunder:

»Ingen platform kan blive 100 pct. sikker,« siger Piotr Kaminski.

Læs også: 1.600 kunder har fået kortdata stjålet efter malware på webshop

Masser eksempler på sikkerhedsbrud

Hjemme i Danmark var Magento-baserede Bahne.dk et levende eksempel på en e-handelshjemmeside, der både i oktober 2018og december samme år var udsat for hackerangreb.

Umiddelbart var intentionen for svindlernes side at høste betalingskortoplysninger på hjemmesidens kunder.

Derudover har sikkerhedsselskabet Sucuri tidligere i år advaret om, at samtlige af de mere end 250.000 e-handelstjenester på det tidspunkt kunne være udsat for sårbarheder, der kunne føre til en ‘katastrofal hackerkampagne’.

Github har også været nødsaget til at slette lister, der førte oversigt over 5.800 hjemmesider, heriblandt 29 danske, som var kompromitterede med kort-skimmings-malware.

Alle sammen målrettet Magento-baserede webshops.

Læs også: Fandt sin danske webshop på hackerliste: »Jeg tænkte jo bare, at det var noget lort«

Sikkerhedsopdateringer nedprioriteres

Magento og Adobe har med senior product manager Piotr Kaminski i spidsen en idé om, hvorfor brugere af platformen i så høj grad er udsat for angreb, der i flere tilfælde lykkes.

»Magento er et saftigt mål for denne type kriminelle, fordi det er er en af de mest anvendte platforme rundt om i verdenen. Angriberne er også klar over, at Magento-platformen kræver, at købmænd og hjemmesideinstallatører arbejder sammen, for at hjemmesiden og dens sikkerhed kan opdateres,« siger Piotr Kaminski, der mener at dette samarbejde i sig sig udgør en sikkerhedstrussel.

For samtidig med, at disse opdateringer er vigtige, hvis selskaberne vil have en sikker hjemmeside, oplever Piotr Kaminski, at selskaberne negligerer deres egne hjemmesider.

»Vi ser ofte, at firmaerne prioriterer features over sikkerhedsopdateringer på deres hjemmesider, og at de så aldrig får sikkerhedsopdateret hjemmesiden senere hen,« siger Piotr Kaminski, der understreger det vigtige i at holde sin hjemmeside opdateret, hvis man vil undgå sikkerhedsbrister.

Piotr Kaminski kommer derfor også med en bøn til de programmører, der installerer og designer Magento på vegne af selskaber, der vil åbne og administrere e-handelshjemmesider. Det er ifølge ham vigtigt, at man ikke benytter en uddateret udgave af Magento, fordi de kan indeholde sikkerhedsbrister, som svindlere er bekendte med.

»Please, please, please brug den nyeste udgave. Vi ser hjemmesider, der lanceres lige nu, som mere eller mindre er uddaterede med det samme,« siger Piotr Kaminski.

Piotr Kaminski anbefaler også firmaer og eksterne hjemmesideinstallatører at være påpasselige med brugen af gæstebrugere med administrator-rettigheder.

»Vi er også ofte vidne til, at uvelkomne svindlere får adgang til en hjemmeside via stjålne eller guest-admin accounts. Det gør sig især gældende, hvis et selskab anvender den samme adgangskode til flere brugere,« siger Piotr Kaminski. .

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Münster

Kan kun opnås ved at hive strømmen ud til serveren og grave den ned i jorden, med beton ovenpå.

[Overdrivelse] fremmer forståelsen, men CO's verden over bliver nødt til at forstå dette faktum.

Selvfølgelig skal der implementeres sikkerhed efter best practice, men budskabet er følgende:
I skal basere jeres forretningslogik på at i bliver hacket på et tidspunkt. Ingen går ikke fri.

I skal hellere spørge jer selv:
- Hvad har i tænkt jer at gøre, når det sker?
- Hvordan kan vi minimere brudets konsekvenser? (hashing / kryptering osv)
- Hvordan opdager vi ubudne gæster hurtigst?
- Hvordan gør vi det uinteressant at hacke netop vores servere?

  • 0
  • 0
Simon Mikkelsen

Kan kun opnås ved at hive strømmen ud til serveren og grave den ned i jorden, med beton ovenpå.

Man kan stadig bryde betonlaget op og grave serveren op.

Ellers er jeg enig med Christian: Der er så mange datalæk at man er nød til at forberede alt fra applikationer til infrastruktur til at der sker indbrud og dermed prøve at minimere konsekvensen. Det kan være så banalt at man ikke opbevarer data man ikke har brug for og sletter det så snart det er muligt.

  • 1
  • 0
Tommy Calstrup

At Hr. og Fru Cerut, ude i de små hjem, ikke helt forstår hvor låsen til hoveddøren er gemt, og hvordan den virker, er helt forventeligt, og accepteret. Men når IT professionelle forventer sikkerhed på noget som helst, som er forbundet til omverdenen, og har brugeradgang, så kan jag kun tage mig til hovedet, og råber min fustration ud i lokalet.

Eller er det et kommunikationsproblem, forårsaget af, at Hr. Cerut er øverste leder, og derfor har opgiver kommunikation med nørderne, fordi de taler et mærkeligt sprog, og nørderne har opgivet kommunikation, den anden vej, fordi chefen bare ikke fatter hvad han/hun har sat i verden?

  • 0
  • 2
Hans Nielsen

Man kan med sikkerhed, ikke lave software og hardware løsninger uden huller, med der til så at at give op ?

Eller bare at forsætte ud af den vej, som giver problemmer det virker tåbeligt.

Mange af problemmer i sikkerhed på platforme, ligger som jeg forstår det, i 3 parts aplicationer eller OS, eller hovedløs til føjelser af nye ting, i stedet for sikker sig at det man har lavet bliver lappet eller lavet rigtigt.

Samme forskeld på tilgang i finder man også i 2 store OS, hvor det ene tilsyndelanden skal udskiftes hvergang at de fleste huller og fejl er rettet. Mens det andet efter 50 år, er blevet stadig bedre, sikkere, hurtigere og mere udbredt.

Et valg af fornuftigt hardware og OS, med automatisk patch og opdateringer også af installeret software. Så kommer man langt i forhold til sikkerhed, Og ja der er huller, men hvis de bliver reporteret og lukket. Så bliver der både færere huller og enheder som bliver ramt.

Hvis også de 3 stjernet i stedet for aktivt at købe huller og udnytte eller gemme dem, istedet arbejde for at lukke og styrke sikkerheden for os alle sammen. Så ville det også hjælpe.
Det kan godt være at de så ikke måske får ramt på en enkelt terorist, med 5 milliarder mennesker bliver så ikke terrroriseret af de fejl som de medvirker til at udbrede.

https://www.youtube.com/watch?v=ynenSJFyteM

  • 0
  • 2
Log ind eller Opret konto for at kommentere