Adobe 子会社 Magento のソフトウェアをベースにしたオンライン ショップは、重大なセキュリティ ギャップにさらされています。セキュリティ研究者は、クレジット カード詐欺師がデータを盗むために使用できる 20 以上のアドオンを報告しています。詐欺師は脆弱な拡張機能を探して、悪意のあるコードを挿入します。
脆弱なアドオンに対する Magecart キャンペーン
顧客として、詐欺に気づくのは明らかに手遅れになってからです。偽のフォームは、クレジット カードの詳細を入力するよう要求して開き、その後閉じます。実際のフォームは開いたままなので、エラーによりデータを再入力する必要があるように見えます。 Magento の顧客はセキュリティ ギャップの影響を受けます。これには、PC やプリンターのメーカーである HP やバウハウスなどの有名企業だけでなく、さまざまなファッション プロバイダーも含まれます。
このトピックについてさらに詳しく:
- Amazon の新しいプライム クレジット カードが非常に高価になるのはそのためです
- オフラインでも利用可能: Google は Mastercard 経由でユーザーを追跡
オランダのセキュリティ研究者 Willem de Groot は、ブログ投稿で新しい「Magecart」詐欺キャンペーンに最初に注目を集めました。ハッカーが顧客データにアクセスするために使用する偽のフォームを人々に知らせるという自ら課した任務に加えて、デ・グルート氏は、特にどの拡張機能が脆弱であるか、対応するセキュリティパッチがすでに保留中であるかどうかなどを示しています。
オンラインショップソフトウェアMagentoは、2016年から知られている脅威「CVE-2016-4010」の脆弱性によって脆弱化されています。これにより、ハッカーが PHP コードをリモートでインポートして実行できるようになります。 Magento 開発者は同年にパッチ 8788 でセキュリティ ホールを埋めましたが、この調整はまだすべての拡張機能に採用されていないようです。これにより、それらは引き続き重大なセキュリティ リスクとなります。