Igår rapporterade vi om att hackers hade lyckats göra intrång i Hemmakvälls Magentolösning och få tillgång till kunddatabasen, som sedan spreds fritt på Internet. Det vi då inte visste var hur enkelt det var för en tredje part att knäcka lösenorden och de facto sätta användarnas e-postkonton och andra konton i fara. Även om användarnas lösenord inte behöver vara identiska hos Hemmakväll som hos deras andra använda tjänster, så är det tyvärr vanligt att det är så på grund av ett lågt säkerhetsmedvetande hos konsumenterna.
"Det tog bara sekunder att knäcka"
Vi bad en säkerhetsexpert analysera den läckta filen för att se hur illa det egentligen låg till med användarnas lösenord och om de borde vara oroliga för mer än att deras personuppgifter spridits.
"Det tog bara sekunder att knäcka de första lösenorden, men de är ju de lättaste. På ett par minuter hade jag flera hundra i klartext dock."
-Menar du att Magentos system för lösenord är undermåligt eller beror det på något annat?
"Nej, Magento har ett bättre sätt att skydda lösenorden än många andra system. Däremot skulle det gå att göra det ännu säkrare om man bytte till sha2 istället för att använda MD5 (kryptografiska tekniker red. anm.) och använde ett mer avancerat salt (används för att ytterligare försvåra att få ut lösenord i klartext red. anm.) samt att man såklart tvingade användarna att ange mer unika och svårknäckta lösenord, men det är ju en avvägning mot användarvänlighet också."
Magentos Shoplift-hål kan ha legat bakom
Exakt hur just fallet Hemmakväll gått till har vi ingen information om idag, men enligt de experter vi talat med fanns det åtminstone ett möjligt hål i plattformen som kan ha använts. Det handlar om ett hål som gör det möjligt att exekvera egen PHP-kod på servern och på så sätt få full tillgång till databaserna. Detta säkerhetshål, som går under namnet Shoplift, upptäcktes av Check Point Research och man tätade hålet med en uppdatering som släpptes 9:e februari (SUPEE-5344).
Efter att Check Point Research gick ut med full dokumentation om säkerhetshålet exploderade utnyttjandet enligt säkerhetstjänsten Sucuri. Detta berodde till stor del att många Magento-administratörer fortfarande missat att täta till sina plattformar.
Så vet du om du är drabbad
Om man är konsument och orolig för att ens personuppgifter och lösenord sprids på grund av liknande attacker så kan man enkelt testa detta med tjänsten pwnedlist.com som loggar och läser in läckta databaser och gör de sökbara på e-post.
För att kontrollera om du som Magento-ägare är säker kan du använda denna webbtjänst. Samma tjänst rapporterar just nu att 47.000 Magento-installationer fortfarande är oskyddade mot detta säkerhetshål.
För dig som e-handlare gäller det att sätta säkerhetsarbetet in i det dagliga arbetet, se till att ni har rutiner för att uppdatera alla era plattformar och era tredjeparts-plugins. Det går även att hålla utkik på listor liknande den som BreachAlarm publicerar.
