美国约五百家电商网站被入侵:植入信用卡窃取程序
据安全公司 Sansec 报告,约有五百家电商网站被黑客植入信用卡窃取程序,识图窃取用户购买商品时的支付信息。
安全人员透露,被黑客入侵的这五百个左右的美国电商网站无一例外都是基于开源电商系统Magento 1 版本搭建的。
Magento 电子商务系统中文名麦进斗,是一款专业开源的电子商务系统,其设计灵活,拥有模块化架构体系和功能。
因麦进斗充分利用开源特性,提供代码库开发和非常规范的标准,易与第三方应用系统无缝集成等特点而颇受追捧。
这就使得美国很多电商网站都基于麦进斗电子商务系统构建,于是也就发生了前文我们提到的遭遇黑客入侵的一幕。
需要注意的是,黑客入侵的是电商软件全部基于麦进斗 1 版本,而官方已于2020年06月已停止对该版本的服务支持。
据悉,黑客组合利用一个 SQL 注入漏洞和 Quickview 插件的一个 PHP 对象注入攻击在网站服务器上执行恶意代码。
黑客利用的恶意脚本则被托管在一个用于测试的第三方电商网站上,目前这个测试用的电商网站依旧出于运作状态。
当用户在被入侵了的网站上购物时,恶意脚本会弹出虚假支付界面,毫不知情的用户就会在支付界面填写支付信息。
然后恶意脚本就会把用户填写的带有敏感信息的支付内容传输到这个测试网站中,黑客轻而易举就获得了用户信息。
对此,安全人员建议还在运行麦进斗 1 版本的网站主最好将网站程序升级到最新版本,以避免上述漏洞被黑客利用。
如果网站主无法升级网站程序,也可以选择安装由 OpenMage 项目提供的麦进斗 1 开源补丁,也可以暂时降低风险。