Abo
  • Services:
Anzeige
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab.
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab. (Bild: Magento)

Security: Datenklau im E-Commerce-System Magento

Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab.
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab. (Bild: Magento)

Aus dem E-Commerce-System Magento schöpfen Unbekannte offenbar massenhaft Kreditkarteninformationen ab. Magento kommt unter anderem bei Ebay zum Einsatz.

Anzeige

Mit einem offenbar andauernden Angriff greifen unbekannte Täter massenhaft und gezielt Kreditkarteninformationen aus der E-Commerce-Lösung Magento ab. Um sich Zugriff auf die Systeme zu schaffen, nutzten sie bislang unbekannte Schwachstellen, berichtet das IT-Sicherheitsunternehmen Sucuri. Die Lücken vermutet der Experte Peter Gramantik entweder in der Kernanwendung oder in einem weit verbreiteten Modul.

Mit dem von den Unbekannten platzierten Code sollen sie sämtliche POST-Abfragen in Magento mitschneiden können. Sie filtern aber offenbar ausschließlich Kreditkarteninformationen heraus. Diese werden zunächst verschlüsselt und anschließend in einer Bilddatei mit einem ungültigen Jpeg-Header gespeichert. Außerdem werde der Zeitstempel der Datei manipuliert, um sie unauffälliger zu machen. Sollte die Bilddatei zufällig geöffnet werden, wird nichts angezeigt. Erst mit dem privaten Schlüssel des Angreifers werden die gestohlenen Daten dechiffriert.

Weitere Lücke entdeckt

Gramantik beschreibt auch einen weiteren Angriff auf Magento, bei dem Code in das Checkout-Modul der E-Commerce-Lösung eingeschleust wurde. Darüber können die Angreifer gesamte Zahlungstransaktionen abgreifen. Die Daten werden anschließend einfach per E-Mail an die Angreifer versandt.

Wo Gramantik die Schwachstellen entdeckt hat, geht aus dem Posting nicht hervor. Ob der Entwickler der Software bereits Patches veröffentlicht hat, ist ebenfalls nicht bekannt. Magento wird unter der Open Software License veröffentlicht. Das Unternehmen gehört seit Juni 2011 zu Ebay. Gramantik weist darauf hin, dass mangelnde Verschlüsselung es den Angreifern leicht macht, die Daten zu klauen. Das Problem dürfte aber auch andere E-Commerce-Hersteller betreffen.


eye home zur Startseite
Baron Münchhausen. 01. Jul 2015

Ja 5.6 :) So ganz stimmt das mit der API aber nicht. Erweitert wird sie (kein BC break...

Moe479 27. Jun 2015

im deutschen sagt man ja auch "anmelden" zu "log in", deine eigene denglische...

c4u 27. Jun 2015

ganz ehrlich... wenn man sich den verlinkten artikel mal durchließt... diese...

jt (Golem.de) 26. Jun 2015

Ist korrigiert. Danke für den Hinweis.

jt (Golem.de) 26. Jun 2015

Gaah! Die Autokorrektur war auf X-Men eingestellt. :) Jetzt stehts da richtig.



Anzeige

Stellenmarkt
  1. über Mentis International Human Resources GmbH, Nordbayern
  2. SICK AG, Reute bei Freiburg im Breisgau
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. Automotive Safety Technologies GmbH, Gaimersheim


Anzeige
Spiele-Angebote
  1. (-43%) 23,99€
  2. (-20%) 55,99€
  3. (-78%) 8,99€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Boah Heiko halt doch endlich deine dumme Fresse

    narfomat | 02:57

  2. Re: Unangenehme Beiträge hervorheben statt zu...

    klaus9999 | 02:44

  3. Warum?

    NeoXolver | 02:38

  4. Re: Jeder redet über FB-Mitarbeiter - keiner über...

    klaus9999 | 01:55

  5. Password-Master - Master-Desaster

    MarioWario | 01:40


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel