Betaalgegevens kunnen mogelijk achterhaald worden door een lek in Magento. Magento wordt de laatste tijd vaker het doelwit van hackers, omdat het een steeds populairder CMS voor webshops is geworden. Daar komt bij dat e-commerce groeit, steeds meer mensen bestellen online, hierdoor is het een interessant doelwit geworden voor hackers.
Onderzoek naar het Magento lek
Website-beveiliger Securi.net onderzoekt op dit moment nog het Magento-lek. Securi.net heeft het vermoeden dat hackers code toevoegen aan basisbestanden van Magento of aan die van veelgebruikte extensies. Deze code zou ervoor zorgen dat alle zogenaamde POST-verzoeken op uw Magento-webshop doorzocht worden naar creditcardgegevens. Deze gegevens worden vervolgens opgeslagen als een nep-afbeelding. De plaatsingsdatum van dit bestand wordt aangepast, zodat het niet opvalt. Als u de afbeelding opent zult u ook het welbekende rode kruisje te zien krijgen waarmee het lijkt alsof de afbeelding niet of niet helemaal is gedownload. Dit bestand kan echter wel worden gedownload door hackers en daardoor kunnen ze alle bankgegevens kunnen achterhalen.
De code zorgt er ook nog eens voor dat alle sporen van de aanval worden opgeruimd en zelfs de browser verbergt. Volgens Peter Gramantik van Securi.net komt u er alleen achter of u gehackt bent als het al te laat is, u ziet het bijvoorbeeld pas op uw bankafschrift. Overigens waarschuwt hij dat het gevaar zeker niet zal beperken tot Magento. Ook andere e-commerce platformen kunnen hier te maken mee krijgen.
Wat betekend dit voor uw Magento webshop?
De creditcard hack heeft alleen gevolgen voor de Magento-installatie zelf. Dit betekent dat u alleen gevaar loopt als u zelf de creditcardgegevens opslaat in Magento. Dit is in de meeste gevallen niet zo, omdat er gebruik wordt gemaakt van een payment provider voor het verwerken van betalingen met een creditcard (bijv. PayPal). Hiermee is uw webshop niet veilig, maar de kans dat gegevens worden gestolen is veel kleiner.
Op dit moment heeft Magento nog geen patch voor dit lek. Zodra deze beschikbaar is gesteld door Magento zullen wij uiteraard contact opnemen met onze klanten voor de installatie. Heeft u vragen? Neem dan gerust contact met ons op.