140.000 webwinkels kwetsbaar door Magento-lek
Een ernstig beveiligingslek in de webwinkelsoftware Magento zorgt ervoor dat 140.000 webwinkels het risico lopen om te worden gehackt, zo waarschuwt het Nederlandse hostingbedrijf Byte. De kwetsbaarheid werd in februari door de ontwikkelaars gepatcht, maar onderzoek van Byte op 14 april laat zien dat 60% van de webwinkels die op Magento draait nog steeds een kwetsbare versie gebruikt. Dat komt neer op 140.000 webwinkels.
Er zijn nog geen aanvallen waargenomen, maar als er een exploit verschijnt verwacht Byte dat alle kwetsbare webwinkels binnen 48 uur zullen worden gehackt. Om webwinkels te helpen is er een website online verschenen die meldt of de webshop kwetsbaar is of niet. Daarnaast krijgen beheerders het advies om de update te installeren. Volgens een medewerker van beveiligingsbedrijf Check Point op Reddit zal het bedrijf volgende week meer details over de kwetsbaarheid openbaar maken, maar geen exploitcode. Wel stelt de werknemer dat het om een zeer ernstig lek gaat.
Volkskrant https://shoplift.byte.nl/scan/www.volkskrant.nl/shop/admin
AD https://shoplift.byte.nl/scan/www.ad.nl/shop/admin
Parool https://shoplift.byte.nl/scan/www.parool.nl/shop/admin
True :) Maar /shop hacken = alle cookies uitlezen. En misschien draait /shop wel op dezelfde servers als hun CMS.
"als er een exploit verschijnt verwacht Byte dat alle kwetsbare webwinkels binnen 48 uur zullen worden gehackt"
Wat een onzin. Kijk eens hoeveel CMS software outdated is met bekende exploits, die nog steeds niet gehackt zijn. Ja, er zal als er een makkelijke exploit is ongetwijfeld misbruik van gemaakt worden, en als niemand patched zullen er uiteindelijk veel sites besmet raken maar alle sites binnen 48 uur, waar haal je het vandaan.
"als er een exploit verschijnt verwacht Byte dat alle kwetsbare webwinkels binnen 48 uur zullen worden gehackt"
Wat een onzin. Kijk eens hoeveel CMS software outdated is met bekende exploits, die nog steeds niet gehackt zijn. Ja, er zal als er een makkelijke exploit is ongetwijfeld misbruik van gemaakt worden, en als niemand patched zullen er uiteindelijk veel sites besmet raken maar alle sites binnen 48 uur, waar haal je het vandaan.
Nog nooit van Drupageddon gehoord zeker? Toen had je ongeveer 7 uur om je Drupal site te patchen en anders was je de klos.
Met automatische scans en aanvallen kunnen hackers zoiets bereiken.
Drupageddon? Wat was uiteindelijk het resultaat? Honderdduizenden gehackte websites? Niets meer van gehoord.
Wat een FUD onzin en angsthazerij. Het feit dat de kans bestaat betekent niet dat het ook gebeurt.
Beter je hoofd erbij houden en rustig patchen dan zo in de paniek te schieten en paniek te zaaien.
Wat ik kwalijk vind is dat in mijn beleving Magento niet echt adequaat gereageerd heeft op het probleem. Ja, er was een patch, maar de enige echt zichtbare vorm van communicatie die ik tegenkwam was 1 twitter berichtje in februari. Die kun je makkelijk missen. Pas deze week, na het bericht van Byte, verschijnt er ineens een melding in de beheerconsole van Magento. Dat had ook in februari kunnen gebeuren natuurlijk - dat valt veel meer op dan een twitterbericht wat makkelijk kan verdwijnen in de hoeveelheid berichten die je via Twitter van Magento krijgt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.