Istraživači za računarsku bezbednost iz kompanije Sucuri objavili su svoje istraživanje o krađi podataka sa servisa Magento, platforme u vlasništvu eBay-a za upravljanje sadržajem internet prodavnice.
Napadači ubace računarski kod u Magento verovatno iskorišćavajući neku do sada nepoznatu ranjivost i prikupljaju sve POST zahteve, a nakon filtriranja spremaju samo one zahteve koji u sebi sadrže informacije o kreditnim karticama. Ukradeni podaci se zatim šifriraju javnim ključem i spremaju u posebno oblikovanu slikovnu datoteku.
Napadač kasnije može preuzeti te datoteke i pročitati ukradene podatke pomoću tajnog ključa. Iz kompanije Sucuri otkrili su još jedan način krađe podataka. U tom slučaju napadači su ubacili računarski kod u Magent-ov modul za proveru podataka koji šalje prikupljene podatke na napadačev e-mail kao običan tekst bez šifriranja.
Slični napadi na web prodavnice koje koriste Magento uočene su i u aprilu ove godine te je ubrzo izdata zakrpa koja je ispravila tada korišćenu ranjivost. eBay se još nije izjasnio o ovom napadu.
Napadači kradu podatke o karticama sa Magento servisa
10:32
nema komentara
Postavi komentar
Vaš komentar: