Een kritiek beveiligingslek in de populaire webwinkelsoftware Magento waardoor een aanvaller de webshop volledig kan overnemen is nog altijd in 88.000 webwinkels aanwezig, ook al is de update sinds begin februari beschikbaar. De kwetsbaarheid wordt inmiddels gebruikt om webwinkels aan te vallen.

Daarnaast heeft beveiligingsbedrijf Check Point details over het lek vrijgegeven. Onderzoekers van het bedrijf waarschuwden Magento op 14 januari van dit jaar over het probleem dat ze hadden gevonden. Een aantal weken later volgde er een beveiligingsupdate Magento. Toch besloten veel webwinkels die niet te installeren. Het Nederlandse hostingbedrijf Byte waarschuwde een week geleden dat nog altijd 140.000 webwinkels risico liepen omdat ze niet gepatcht waren. Inmiddels heeft een aanzienlijk deel van de kwetsbare Magento-shops de update geïnstalleerd, maar zijn nog altijd 88.000 webwinkels kwetsbaar, aldus de laatste telling van Byte.

Die telling vond afgelopen vrijdag plaats, op dezelfde dag dat de Magento-ontwikkelaars een waarschuwing voor het lek afgaven. Beveiligingsbedrijf Sucuri meldde vrijdag dat het inmiddels aanvallen had waargenomen die van het lek misbruik maakten. Daarbij stelde het bedrijf dat webwinkels die de patch nog niet hadden uitgerold al waren gehackt of dat slechts een kwestie van tijd zou zijn. Hieronder een demonstratievideo van Check Point waarin is te zien hoe webwinkels via het lek kunnen worden bestolen door de prijs van goederen op nul te zetten.