PrestaShops 250 000 nätbutiker öppna för attack

PrestaShop krypterar kundernas lösenord men enligt experter gör man ett extremt dåligt jobb vilket öppnar för attacker.

Enligt sajten Weblind sitter Sveriges mest populära open source-plattform på en stor säkerhetsbrist. Artikeln som nu delas i PrestaShop-kretsar förklarar hur plattformen inte tar kundernas säkerhet på allvar.

- Vi utvecklare i communityn har försökt att få en lösning på denna brist sedan 2012 men utvecklarna bakom plattformen har endast mött det hela med arrogans, och vägrar ta säkerhetsfrågan på allvar, skriver Marcus Lind, grundare av Tourn och Cupcard, till Ehandel.se.

Annons
Annons

Det ska enligt artikeln i fråga ta en hackare under en dag att "knäcka" nästan alla lösenord lagrade bakom en PrestaShop-sajt.

- Det är alltså 250,000+ Prestashop-butiker som har denna säkerhetsbrist gällande hur de lagrar lösenorden i butiken, förklarar Marcus Lind.

Utöver att man använder en gammal algoritm, MD5, som ska skydda lösenord mot attacker har man även implementerat den felaktigt.

Kunde lika gärna varit i klartext

Ett lösenord som en användare anger ska förutom att "hashas", det vill säga göras oläsligt för potentiella tjuvar, även slås samman med en slumpmässig teckensnutt (sträng). Detta för att göra det svårt att skapa färdiga tabeller som kan användas för att utläsa lösenorden i databasen.

Denna sträng eller teckensnutt måste vara unik per lösenord. PrestaShop sägs dock använda samma sträng till alla lösenord på en sajt. Detta ska alltså göra så att en tjuv relativt enkelt kan bryta krypteringen och utläsa lösenorden i klartext.

Det ska utöver detta även finnas andra säkerhetsmetoder, som exempelvis att hasha upprepade gånger. Metoder som kan stärka säkerheten men som PrestaShop inte implementerat.

Enligt säkerhetsexperter och insatta kunde lösenorden lika väl varit helt oskyddade, så pass dålig sägs säkerheten vara. De vi pratat med rekommenderar inte ens att man använder MD5 längre, oavsett om man saltar korrekt och upprepar hashningen.

- Man skall inte använda MD5 och det är jätteenkelt att under en övergångsperiod gå över utan att kasta allas lösenord, meddelar en säkerhetsexpert som Ehandel.se pratat med.

Annons
Annons

Prenumerera

Du missar väl inte vårt nyhetsbrev E-handelsnytt?

Tack!