Abo
  • Services:
Anzeige
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab.
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab. (Bild: Magento)

Security: Datenklau im E-Commerce-System Magento

Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab.
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab. (Bild: Magento)

Aus dem E-Commerce-System Magento schöpfen Unbekannte offenbar massenhaft Kreditkarteninformationen ab. Magento kommt unter anderem bei Ebay zum Einsatz.

Anzeige

Mit einem offenbar andauernden Angriff greifen unbekannte Täter massenhaft und gezielt Kreditkarteninformationen aus der E-Commerce-Lösung Magento ab. Um sich Zugriff auf die Systeme zu schaffen, nutzten sie bislang unbekannte Schwachstellen, berichtet das IT-Sicherheitsunternehmen Sucuri. Die Lücken vermutet der Experte Peter Gramantik entweder in der Kernanwendung oder in einem weit verbreiteten Modul.

Mit dem von den Unbekannten platzierten Code sollen sie sämtliche POST-Abfragen in Magento mitschneiden können. Sie filtern aber offenbar ausschließlich Kreditkarteninformationen heraus. Diese werden zunächst verschlüsselt und anschließend in einer Bilddatei mit einem ungültigen Jpeg-Header gespeichert. Außerdem werde der Zeitstempel der Datei manipuliert, um sie unauffälliger zu machen. Sollte die Bilddatei zufällig geöffnet werden, wird nichts angezeigt. Erst mit dem privaten Schlüssel des Angreifers werden die gestohlenen Daten dechiffriert.

Weitere Lücke entdeckt

Gramantik beschreibt auch einen weiteren Angriff auf Magento, bei dem Code in das Checkout-Modul der E-Commerce-Lösung eingeschleust wurde. Darüber können die Angreifer gesamte Zahlungstransaktionen abgreifen. Die Daten werden anschließend einfach per E-Mail an die Angreifer versandt.

Wo Gramantik die Schwachstellen entdeckt hat, geht aus dem Posting nicht hervor. Ob der Entwickler der Software bereits Patches veröffentlicht hat, ist ebenfalls nicht bekannt. Magento wird unter der Open Software License veröffentlicht. Das Unternehmen gehört seit Juni 2011 zu Ebay. Gramantik weist darauf hin, dass mangelnde Verschlüsselung es den Angreifern leicht macht, die Daten zu klauen. Das Problem dürfte aber auch andere E-Commerce-Hersteller betreffen.


eye home zur Startseite
Baron Münchhausen. 01. Jul 2015

Ja 5.6 :) So ganz stimmt das mit der API aber nicht. Erweitert wird sie (kein BC break...

Moe479 27. Jun 2015

im deutschen sagt man ja auch "anmelden" zu "log in", deine eigene denglische...

c4u 27. Jun 2015

ganz ehrlich... wenn man sich den verlinkten artikel mal durchließt... diese...

jt (Golem.de) 26. Jun 2015

Ist korrigiert. Danke für den Hinweis.

jt (Golem.de) 26. Jun 2015

Gaah! Die Autokorrektur war auf X-Men eingestellt. :) Jetzt stehts da richtig.



Anzeige

Stellenmarkt
  1. ROHDE & SCHWARZ GmbH & Co. KG, Stuttgart
  2. LexCom Informationssysteme GmbH, München
  3. Bundes-Gesellschaft für Endlagerung mbH (BGE), Salzgitter, später Peine
  4. Drägerwerk AG & Co. KGaA, Lübeck


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 49,99€ mit Vorbesteller-Preisgarantie
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

  1. Re: "kann zwar kein Benzintank explodieren"

    bombinho | 23:44

  2. Re: Hier der Beweis ;-)

    mathew | 23:41

  3. Re: Was bitte ist an W10 "vollwertig"?

    zuschauer | 23:39

  4. Re: Sollten lieber den Desktop komplett an MacOS...

    TrudleR | 23:34

  5. Re: Wenn man dem System Linux schaden wöllte,

    stiGGG | 23:25


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel