I december kom uppgifter om att den öppna plattformen PrestaShop gjorde ett så dåligt jobb med att kryptera användarnas uppgifter att det skulle ta hackare "mindre än en dag" att komma över alla lösenord som var kopplade till en viss e-handelssajt. Nu har PrestaShop fått sällskap i blåsvädret av en annan open source-plattform, Magento, där en annan sorts säkerhetsrisk har upptäckts.
Genom en brist som ska finnas i så gott som alla versioner av Magento kan hackare placera JavaScript-koder inuti kundregistreringsformulär, enligt ArsTechnica. Magento ska sedan behandla koderna som ett administrationskonto, vilket gör att hackare kan ta över servern som styr hela sajten. Det ska också vara möjligt att bland annat skapa nya administrationskonton och stjäla kundinformation.
Brandvägg rekommenderas
Felet hos Magento upptäcktes och rapporterades av företaget Securi som arbetar med säkerhet på nätet.
- Säkerhetsbristen ligger inne i Magentos kärnbibliotek, närmare bestämt inom administratörens backend. Om du inte använder en brandvägg eller om du har en kraftigt modifierad administrationspanel så är du i riskzonen, förklarar en anställd på Securi för ArsTechnica.
Bristen, som är en så kallad "XSS bug", ska vara en vanlig sorts säkerhetsbrist, och Securi rekommenderar alla Magentoanvändare att installera en uppdaterad version, samt försäkra sig om att de använder Internet på ett säkert sätt, till exempel genom att ha en aktiv brandvägg.
