Abo
  • Services:
Anzeige
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab.
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab. (Bild: Magento)

Security: Datenklau im E-Commerce-System Magento

Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab.
Unbekannte schöpfen offenbar Kreditkarteninformationen über Lücken in der E-Commerce-Lösung Magento ab. (Bild: Magento)

Aus dem E-Commerce-System Magento schöpfen Unbekannte offenbar massenhaft Kreditkarteninformationen ab. Magento kommt unter anderem bei Ebay zum Einsatz.

Anzeige

Mit einem offenbar andauernden Angriff greifen unbekannte Täter massenhaft und gezielt Kreditkarteninformationen aus der E-Commerce-Lösung Magento ab. Um sich Zugriff auf die Systeme zu schaffen, nutzten sie bislang unbekannte Schwachstellen, berichtet das IT-Sicherheitsunternehmen Sucuri. Die Lücken vermutet der Experte Peter Gramantik entweder in der Kernanwendung oder in einem weit verbreiteten Modul.

Mit dem von den Unbekannten platzierten Code sollen sie sämtliche POST-Abfragen in Magento mitschneiden können. Sie filtern aber offenbar ausschließlich Kreditkarteninformationen heraus. Diese werden zunächst verschlüsselt und anschließend in einer Bilddatei mit einem ungültigen Jpeg-Header gespeichert. Außerdem werde der Zeitstempel der Datei manipuliert, um sie unauffälliger zu machen. Sollte die Bilddatei zufällig geöffnet werden, wird nichts angezeigt. Erst mit dem privaten Schlüssel des Angreifers werden die gestohlenen Daten dechiffriert.

Weitere Lücke entdeckt

Gramantik beschreibt auch einen weiteren Angriff auf Magento, bei dem Code in das Checkout-Modul der E-Commerce-Lösung eingeschleust wurde. Darüber können die Angreifer gesamte Zahlungstransaktionen abgreifen. Die Daten werden anschließend einfach per E-Mail an die Angreifer versandt.

Wo Gramantik die Schwachstellen entdeckt hat, geht aus dem Posting nicht hervor. Ob der Entwickler der Software bereits Patches veröffentlicht hat, ist ebenfalls nicht bekannt. Magento wird unter der Open Software License veröffentlicht. Das Unternehmen gehört seit Juni 2011 zu Ebay. Gramantik weist darauf hin, dass mangelnde Verschlüsselung es den Angreifern leicht macht, die Daten zu klauen. Das Problem dürfte aber auch andere E-Commerce-Hersteller betreffen.


eye home zur Startseite
Baron Münchhausen. 01. Jul 2015

Ja 5.6 :) So ganz stimmt das mit der API aber nicht. Erweitert wird sie (kein BC break...

Moe479 27. Jun 2015

im deutschen sagt man ja auch "anmelden" zu "log in", deine eigene denglische...

c4u 27. Jun 2015

ganz ehrlich... wenn man sich den verlinkten artikel mal durchließt... diese...

jt (Golem.de) 26. Jun 2015

Ist korrigiert. Danke für den Hinweis.

jt (Golem.de) 26. Jun 2015

Gaah! Die Autokorrektur war auf X-Men eingestellt. :) Jetzt stehts da richtig.



Anzeige

Stellenmarkt
  1. Zurich Gruppe Deutschland, Bonn
  2. Forschungszentrum Jülich, Jülich
  3. Flottweg SE, Vilsbiburg Raum Landshut
  4. VDI/VDE Innovation + Technik GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 12,85€ + 5€ FSK18-Versand

Folgen Sie uns
       


  1. C't-Editorial kopiert

    Bundeswahlleiter stellt Strafanzeige gegen Brieffälscher

  2. Bundestagswahl 2017

    Viagra, Datenbankpasswörter und uralte Sicherheitslücken

  3. Auto

    Tesla will eigene Hardware für seine autonom fahrenden Autos

  4. Pipewire

    Fedora bekommt neues Multimedia-Framework

  5. Security

    Nest stellt komplette Alarmanlage vor

  6. Creators Update

    "Das zuverlässigste und sicherste Windows seit jeher"

  7. Apple iOS 11

    Wer WLAN und Bluetooth abschaltet, benutzt es weiter

  8. Minecraft

    Eine Server-Farm für (fast) alle Klötzchenbauer

  9. Kabelnetz

    Unitymedia bringt neue Connect App, Booster und Sprachsuche

  10. PowerVR 9XE/9XM und PowerVR 2NX

    Imagination Technologies bringt eigenen AI-Beschleuniger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  1. Re: Macht bei mir sogar Sinn

    Its_Me | 12:24

  2. Re: Sputnik & Co

    AngryFrog | 12:23

  3. Re: Speedtest Geschummel - Nicht repräsentativ

    Seismoid | 12:22

  4. Re: Offline?

    AngryFrog | 12:22

  5. Re: Und darum brauchen wir eine echte...

    gadthrawn | 12:21


  1. 12:33

  2. 12:05

  3. 12:02

  4. 11:58

  5. 11:36

  6. 11:21

  7. 11:06

  8. 10:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel