CYBERDAY GmbH verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie auf der Seite weitersurfen stimmen Sie der Cookie-Nutzung zu. Diese Meldung nicht mehr anzeigen

089 23 23 92 94 0

Power made in GermanyPower made in Germany

Sicherheitslücken: bis zu 200.000 Magento-Shops betroffen

magento

Magento gehört weltweit zu den beliebtesten Shop-Software-Lösungen. Kritische Sicherheitslücken machen es aktuell möglich, dass Hacker komplette Onlineshops übernehmen könnten, die mit Magento laufen.

Bis zu 200.000 Shops sind nach Expertenschätzungen von den Sicherheitslücken betroffen. Abhilfe verschafft die Installation aktueller Sicherheits-Patches, die Magento online bereitstellt.

Das Unternehmen Check Point hat vor einigen Tagen in seinem Firmen-Blog einen Beitrag veröffentlicht, in dem mehrere Sicherheitslücken der Shop-Software Magento dokumentiert wurden. Durch diese Sicherheitslücken sei es möglich, dass Hacker komplette Shop-Installationen übernähmen und so Zugriff auf sämtliche Kundendaten bekämen. Check Point wirft Magento in dem Beitrag unter anderem vor, mit der Prüfung von Benutzerrechten in der Shop-Software zu schlampig umzugehen.

Sicherheitslücken werden bereits ausgenutzt

Nach Angaben der Sicherheitsdienstdienstleisters Sucuri ist die Gefahr nicht nur theoretischer Natur, sondern wurde in der Praxis schon im großen Stil von Hackern ausgenutzt. Die Hacker nutzen die Sicherheitslücken, um zusätzliche Benutzer mit Administratorrechten in der Shop-Software anzulegen. So bekommen sie vollständigen Zugriff auf das Shop-Backend – und damit auch sämtliche internen Daten.

Check Point hat Magento schon im Februar 2015 auf die Problematik hingewiesen. Daraufhin stellte Magento die entsprechenden Sicherheits-Patches online. Das Problem ist jedoch, dass Nutzer der kostenlosen Community Edition von Magento die Patches manuell installieren müssen. Das gilt auch für Neuinstallationen. In der aktuellen Version der Shop-Software sind die Patches nämlich noch nicht integriert. Auf diesen Missstand findet sich auf der Magento-Website kein einziger Hinweis! Shop-Betreiber, die von der Sicherheitsbedrohung bislang noch nichts mitbekommen haben und ihre Software nicht aktualisiert haben, laufen also Gefahr, dass ihr Shop von Hackern komplett übernommen werden könnte. Diese könnten somit unter anderem auch Zugriff auf Kunden- und deren Konto- und Kreditkartendaten bekommen.

Shop-Betreiber reagieren oft zu spät

Die Zahl der nach wie vor unsicheren Shop-Systeme macht wieder einmal deutlich, dass Shop-Betreiber leider meist zu spät von derlei Sicherheitslücken erfahren. Deshalb ist es für Betreiber dringend zu empfehlen, mit Magento-Agenturen zusammenzuarbeiten, die auf sicherheitsrelevante Informationen achten, sofort eingreifen und die Betreiber informieren. Ist das nämlich nicht der Fall, riskieren Shop-Betreiber nicht nur unmittelbare finanzielle Schäden, sondern auch einen großen Vertrauensverlust bei ihren Kunden.

„In den letzten Monaten sind einige kritische Magento Sicherheitslücken entdeckt und geschlossen worden. SUPEE-5344, SUPEE-4829 und SUPEE-1533 wurden bei CYBERDAY auf allen von Ihnen betreuten Umgebungen ohne Probleme installiert. Zum Schutz unsere Kunden, deren Daten und Infrastruktur nehmen wir solche Patches proaktiv vor“, erklärt Simon Huck, Geschäftsführer der Magento-Agentur Cyberday GmbH.

Magento-Nutzer, die die Patches noch nicht installiert haben, sollten dies unverzüglich nachholen, um die Sicherheitslücken zu schließen. Außerdem empfiehlt es sich, die im Shop-Backend angelegten Benutzer mit Administratorrechten zu überprüfen. Nach Angaben von Sucuri würden russische Hacker bei noch nicht gepatchen Onlineshops Nutzer mit den Namen „vpwq“ und „defaultmanager“ anlegen. Möglich seien aber auch andere Namensbezeichnungen.

Gerne unterstützen wir auch Sie, beim optimalen Schutz Ihres Magento-Onlineshops. Sprechen Sie uns einfach an …..

Links:

2 Gedanken zu „Sicherheitslücken: bis zu 200.000 Magento-Shops betroffen“

Schreibe einen Kommentar