Banki adatok szivároghattak a Magento-alapú webáruhazákból

Biztonsági kutatók a Magento kapcsán igencsak durva támadásokra lettek figyelmesek. Az elkövetők kifejezetten a vásárlók bank- és hitelkártya adatai után kémkedtek.
 

Az elektronikus kereskedelmi rendszerek is folyamatosan támadásoknak vannak kitéve. Különösen azon webes alkalmazások keltik fel a kiberbűnözők figyelmét, amelyek világszerte széles körben használatosak. Ezek közé tartozik egyebek mellett a Magento is, amelynek első változata 2008-ban jelent meg, mostanság pedig az eBay fennhatósága alatt áll. 

A Magento idén már többször került biztonsági beszámolókba, mivel néhány olyan sérülékenységére derült fény, amelyek a rendszerek kompromittálásához, illetve jogosulatlan adathozzáférésekhez vezethettek. A legtöbb kockázatot az a sérülékenység jelentette, amelyet a fejlesztők februárban szüntettek meg, de még hetek múlva is hozzájárult a nem megfelelően frissített rendszerek elleni támadásokhoz. A Check Point áprilisban hívta fel a figyelmet e sebezhetőség veszélyeire, miután számos, Magento elleni támadást észlelt. Akkor derült ki, hogy adatlopás mellett az érintett webes kereskedelmi oldalak feletti irányítás átvételére adhat módot azáltal, hogy a támadók számára rendszergazdai jogosultságokkal felvértezett fiókok létrehozására nyújt lehetőséget.

Itt az újabb hiba

Ahogy az lenni szokott az említett sebezhetőség megszüntetése nem szegte kedvét a kiberbűnözőknek, akik újabb lehetőségek után néztek. A Sucuri biztonsági cég kutatóinak legutóbbi felfedezése alapján kijelenthető, hogy ez sajnos sikerült is számukra. A csalók ugyanis egy olyan módszert dolgoztak ki, amelynek segítségével meglehetősen kényelmesen tudnak bizalmas adatokhoz jutni. 

Peter Gramantik, a Sucuri malware elemzője vizsgálta meg a legutóbbi támadások során felhasznált alvilági eljárásokat. Az elemzések során arra jött rá, hogy a támadók ezúttal kifejezetten adatlopási célokkal hajtották végre az akciójukat. Nem érdekelte őket más, mint hogy minél több bank-, illetve hitelkártyához tartozó információt zsebeljenek be. Ennek megfelelően olyan kódokkal fertőzték meg a kiszemelt webáruházakat, amelyek segítségével a Magento felé küldött összes hálózati (POST) kérést monitorozni tudták. Azonban nem a teljes adatforgalmat mentették le, hanem abból egy algoritmus segítségével kiválogatták a kártyaadatokat. Ezeket egy képfájlnak álcázott állományba mentették le egy nyilvános kulccsal titkosítva. Vagyis amikor a látszólagos képet valaki meg akarta tekinteni, akkor nem jelent meg semmi. Viszont ha a támadók a privát kulcsuk segítségével dekódolták azt, akkor a vásárlások során megadott kártyainformációk tárultak eléjük. 

A támadások kapcsán azért továbbra is vannak még kérdőjelek. A legfontosabb megválaszolandó kérdés, hogy az elkövetők miként tudták manipulálni az áldozatukul eső Magento oldalakat, és bejuttatni a kódjaikat a rendszerekbe. Gramantik szerint a legvalószínűbb, hogy ehhez egy olyan sérülékenységet használtak ki, amely a Magento motorjában található, de az is elképzelhető, hogy valamely gyakorta használt modul, kiegészítő hibáján keresztül érték el a céljukat. 

Még egy biztonsági rés

A Sucuri a fenti sérülékenység mellett egy másik rendellenességre is felfigyelt. E biztonsági rés a Magento Checkout modulját érinti, és szintén a pénzügyi tranzakciók során megadott adatokat veszélyezteti. Igaz ugyan, hogy nem olyan szofisztikált módon, mint az előbbiekben ismertetett hiba, de ettől még sajnos működőképes. Ez esetben a támadók még azelőtt összegyűjti a kártyaadatokat, mielőtt azok feldolgozása megtörténne, majd e-mailekben szivárogtatják ki az értékes információkat.

Az eBay egyelőre nem reagált a felmerült rendellenességekre, de könnyen elképzelhető, hogy a közeljövőben a Magento újabb biztonsági frissítésekkel fog gyarapodni.