Wieder mehrere Hunderttausend Kundendaten durch Sicherheitslücke in xt:Commerce gestohlen

Posted by GSL-Team - 10. Januar 2014 - News, Sicherheit - No Comments

Eine jetzt bekannt gewordene kritische Sicherheitslücke in xt:Commerce 3 und mehreren Abkömmlingen der Onlineshop-Lösung wird zurzeit aktiv ausgenutzt, um Namen, Mail-Adressen und Passwort-Hashes von Online-Shop-Kunden zu stehlen.

Es wurden schon mehr als 230.000 Kundendatensätze vor allem aus Deutschland und Österreich geklaut. Anfällig für den Angriff sind nach Angaben von Heise wohl die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified – die Varianten xt:Commerce 4, Gambio und die aktuelle Version commerce:SEO sind nicht anfällig.

Bei der benutzten Sicherheitslücke handelt es sich im eine SQL-Injection-Schwachstelle in der Funktion Sofortkauf, über die sich die Angreifer Zugriff auf nahezu beliebige Datenbank-Inhalte verschaffen können.

Das Problem wurde von den Entwicklern von commerce:SEO aufgedeckt, die auch einen Server im Internet lokalisierten, der gestohlene Datensätze enthielt. Die in der Zwischenzeit informierten Shop-Betreiber sollten deshalb dringend ihre Kunden warnen, dass ihr Passwort kompromittiert wurde.

Die Shopsoftware xt:Commerce 3 wird nicht mehr gepflegt und trotzdem noch häufig eingesetzt. Wer aber heute immer noch xt:Commerce3 benutzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates versorgt wird. Alles andere muss man inzwischen als recht unverantwortlichen Umgang mit den anvertrauten Daten der Kunden ansehen.

 

No comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentarlinks könnten nofollow frei sein.