Annons

PrestaShops 250 000 nätbutiker öppna för attack Det ska vara enkelt att knäcka PrestaShop-lösenord

PrestaShops 250 000 nätbutiker öppna för attack

2015-12-16 14:01

PrestaShop krypterar kundernas lösenord men enligt experter gör man ett extremt dåligt jobb vilket öppnar för attacker.

Enligt sajten Weblind sitter Sveriges mest populära open source-plattform på en stor säkerhetsbrist. Artikeln som nu delas i PrestaShop-kretsar förklarar hur plattformen inte tar kundernas säkerhet på allvar.

- Vi utvecklare i communityn har försökt att få en lösning på denna brist sedan 2012 men utvecklarna bakom plattformen har endast mött det hela med arrogans, och vägrar ta säkerhetsfrågan på allvar, skriver Marcus Lind, grundare av Tourn och Cupcard, till Ehandel.se.

Det ska enligt artikeln i fråga ta en hackare under en dag att "knäcka" nästan alla lösenord lagrade bakom en PrestaShop-sajt.

- Det är alltså 250,000+ Prestashop-butiker som har denna säkerhetsbrist gällande hur de lagrar lösenorden i butiken, förklarar Marcus Lind.

Utöver att man använder en gammal algoritm, MD5, som ska skydda lösenord mot attacker har man även implementerat den felaktigt.

Kunde lika gärna varit i klartext

Ett lösenord som en användare anger ska förutom att "hashas", det vill säga göras oläsligt för potentiella tjuvar, även slås samman med en slumpmässig teckensnutt (sträng). Detta för att göra det svårt att skapa färdiga tabeller som kan användas för att utläsa lösenorden i databasen.

Annons
Annons

Denna sträng eller teckensnutt måste vara unik per lösenord. PrestaShop sägs dock använda samma sträng till alla lösenord på en sajt. Detta ska alltså göra så att en tjuv relativt enkelt kan bryta krypteringen och utläsa lösenorden i klartext.

Det ska utöver detta även finnas andra säkerhetsmetoder, som exempelvis att hasha upprepade gånger. Metoder som kan stärka säkerheten men som PrestaShop inte implementerat.

Enligt säkerhetsexperter och insatta kunde lösenorden lika väl varit helt oskyddade, så pass dålig sägs säkerheten vara. De vi pratat med rekommenderar inte ens att man använder MD5 längre, oavsett om man saltar korrekt och upprepar hashningen.

- Man skall inte använda MD5 och det är jätteenkelt att under en övergångsperiod gå över utan att kasta allas lösenord, meddelar en säkerhetsexpert som Ehandel.se pratat med.

Julius Gunnilstam

Redaktör och tekniskt ansvarig

Annons
Anrikt lampföretag satsar på e-handel

Anrikt lampföretag satsar på e-handel

"Vi måste finnas där konsumenten finns".

Annons
Annons
Lyxig marknadsplats tar in över 400 miljoner kronor

Lyxig marknadsplats tar in över 400 miljoner kronor

Ska kombinera teknik och mode.

NA-KD satsar offline - igen

NA-KD satsar offline - igen

"Fysiskt är väldigt varumärkesbyggande"

Sålde mattor för 352 miljoner kronor

Sålde mattor för 352 miljoner kronor

Vill stärka sin position i Europa.

Annons
Annons

Du missar väl inte vårt nyhetsbrev E-handelsnytt?

Toys R Us-sagan fortsätter:

Toys R Us-sagan fortsätter: "Ska ej betala producenter"

Ny affärsmodell.

Elgiganten sålde för nära 13 miljarder kronor

Elgiganten sålde för nära 13 miljarder kronor

"Tydligt samband mellan e-handel och butik".

Ägarna har sålt 76 procent av Parfym.se

Ägarna har sålt 76 procent av Parfym.se

Hoppas på en accelererad utveckling.

Annons
Annons
Jobben som försvinner när <nobr>e-handeln</nobr> tar över

Jobben som försvinner när e-handeln tar över

Färsk rapport om framtidens handel.

Annons
Jobb på Ehandel.se

Colourpicture Europe AB söker:

E-commerce Manager

iDeal Of Sweden söker:

Web Analyst

Jewelrybox.se söker:

E-commerce Ninja

Topformula Healthcare AB. söker:

Online Merchandiser


Om Ehandel.se

Vi är en objektiv community och nättidning utan ägarintresse från leverantörer. Vårt mål är att främja svensk e-handel genom att sprida kunskap.

Kontaktinformation

info@ehandel.se

Vill du annonsera?

marknad@ehandel.se

Bolagsinformation

EHANDEL SE AB
Orgno. 556861-7517

Emblem Emblem Emblem
×

Du missar väl inte vårt nyhetsbrev?

Varje fredag får du exklusiva nyheter först av alla samt en summering av hela veckan. Stäng denna ruta