Abo
  • Services:
Anzeige
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab.
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab. (Bild: Magento)

Security: Datenklau im E-Commerce-System Magento

Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab.
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab. (Bild: Magento)

Aus dem E-Commerce-System Magento schöpfen Unbekannte offenbar massenhaft Kreditkarteninformationen ab. Magento kommt unter anderem bei Ebay zum Einsatz.

Anzeige

Mit einem offenbar andauernden Angriff greifen unbekannte Täter massenhaft und gezielt Kreditkarteninformationen aus der E-Commerce-Lösung Magento ab. Um sich Zugriff auf die Systeme zu schaffen, nutzten sie bislang unbekannte Schwachstellen, berichtet das IT-Sicherheitsunternehmen Sucuri. Die Lücken vermutet der Experte Peter Gramantik entweder in der Kernanwendung oder in einem weit verbreiteten Modul.

Mit dem von den Unbekannten platzierten Code sollen sie sämtliche POST-Abfragen in Magento mitschneiden können. Sie filtern aber offenbar ausschließlich Kreditkarteninformationen heraus. Diese werden zunächst verschlüsselt und anschließend in einer Bilddatei mit einem ungültigen Jpeg-Header gespeichert. Außerdem werde der Zeitstempel der Datei manipuliert, um sie unauffälliger zu machen. Sollte die Bilddatei zufällig geöffnet werden, wird nichts angezeigt. Erst mit dem privaten Schlüssel des Angreifers werden die gestohlenen Daten dechiffriert.

Weitere Lücke entdeckt

Gramantik beschreibt auch einen weiteren Angriff auf Magento, bei dem Code in das Checkout-Modul der E-Commerce-Lösung eingeschleust wurde. Darüber können die Angreifer gesamte Zahlungstransaktionen abgreifen. Die Daten werden anschließend einfach per E-Mail an die Angreifer versandt.

Wo Gramantik die Schwachstellen entdeckt hat, geht aus dem Posting nicht hervor. Ob der Entwickler der Software bereits Patches veröffentlicht hat, ist ebenfalls nicht bekannt. Magento wird unter der Open Software License veröffentlicht. Das Unternehmen gehört seit Juni 2011 zu Ebay. Gramantik weist darauf hin, dass mangelnde Verschlüsselung es den Angreifern leicht macht, die Daten zu klauen. Das Problem dürfte aber auch andere E-Commerce-Hersteller betreffen.


eye home zur Startseite
Baron Münchhausen. 01. Jul 2015

Ja 5.6 :) So ganz stimmt das mit der API aber nicht. Erweitert wird sie (kein BC break...

Moe479 27. Jun 2015

im deutschen sagt man ja auch "anmelden" zu "log in", deine eigene denglische...

c4u 27. Jun 2015

ganz ehrlich... wenn man sich den verlinkten artikel mal durchließt... diese...

jt (Golem.de) 26. Jun 2015

Ist korrigiert. Danke für den Hinweis.

jt (Golem.de) 26. Jun 2015

Gaah! Die Autokorrektur war auf X-Men eingestellt. :) Jetzt stehts da richtig.



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Frankfurt am Main, Bonn
  2. Robert Bosch GmbH, Reutlingen
  3. Syna GmbH, Frankfurt am Main
  4. BfS Bundesamt für Strahlenschutz, Berlin-Karlshorst


Anzeige
Top-Angebote
  1. (versandkostenfrei)
  2. 139,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  2. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  3. Funkchips

    Apple klagt gegen Qualcomm

  4. Die Woche im Video

    B/ow the Wh:st/e!

  5. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  6. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  7. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  8. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  9. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  10. Anonymität

    Protonmail ist als Hidden-Service verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

Macbook Pro 13 mit Touch Bar im Test: Schöne Enttäuschung!
Macbook Pro 13 mit Touch Bar im Test
Schöne Enttäuschung!
  1. Schwankende Laufzeiten Warentester ändern Akku-Bewertung des Macbook Pro
  2. Consumer Reports Safari-Bug verursachte schwankende Macbook-Pro-Laufzeiten
  3. Notebook Apple will Akkuprobleme beim Macbook Pro nochmal untersuchen

  1. Re: Da würde nur...

    elf | 16:34

  2. Re: Apple verklagt Qualcomm weil sie ihnen...

    Stereo | 16:34

  3. Re: Da find ich das A4-SFX von DAN besser

    Schattenwerk | 16:32

  4. Re: Dejá-vu?

    elf | 16:31

  5. Re: Komplett integer

    Stereo | 16:30


  1. 14:09

  2. 12:44

  3. 11:21

  4. 09:02

  5. 19:03

  6. 18:45

  7. 18:27

  8. 18:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel