WooCommerce, som är världens mest populära e-handelsplattform, har nyligen inneburit problem för de som använder betallösningen Klarna Checkout. Den officiella pluginen, som tillhandahålls av byrån Krokedil, har sedan en tid tillbaka dragits med ett farligt säkerhetshål. Ett säkerhetshål som inte bara funnits på pappret utan även utnyttjats av hackare, enligt e-handlare som har varit i kontakt med oss på Ehandel.
Vår webshop blev hackad och var tvungen att stängas ner i tre dagar under tiden utvecklarna undersökte vad som hänt. Det visar sig att Klarnas WordPress-plugin har ett hål som möjliggör att vilken inloggad användare som helst kan installera och avinstallera vilka andra plugins som helst. Eftersom man ofta får en användare med “kund-rollen” när man gör ett köp eller kan registrera sig manuellt så blir detta väldigt kritiskt, skriver en utsatt e-handlare till redaktionen.
Säkerhetshålet som nu är fixat av Krokedil, sedan version 2.0.10 av pluginet, tillät alltså hackare att avinstallera andra plugins och installera egna. Något som i princip betyder att de kunde ta över sajten i fråga och komma åt data i WooCommerce/WordPress-systemet.
Säkerhetsbristen som rapporterades gjorde det möjligt för obehöriga att försöka angripa handlarens webbsida, exempelvis med avsikten att komma åt känslig information eller installera skadlig programvara på e-handlarens site. Jag vill vara tydlig med att detta INTE har inneburit att angripare kunnat komma åt Klarnas produkter eller tjänster, eller information hos Klarna, på något sätt, meddelar Mark Strande, säkerhetschef på Klarna, på betalbolagets blogg.
Problemet verkar ha varit så pass kritiskt att man i slutet av förra veckan tvingade e-handlare att uppgradera plugin-mjukvaran genom en deadline under lördagen, då man helt enkelt skulle sluta ta emot betalningar via äldre versioner av mjukvaran. Det ska finnas över 20 000 aktiva installationer av Klarna Checkout för WooCommerce.
Ehandel har kontaktat Klarna för en kommentar kring händelsen och vad man gör för att undvika liknande problem i framtiden.
Mer information:
Inlägg på Klarnas blogg
Inlägg på Krokedils blogg
Teknisk beskrivning av säkerhetshålet
Pluginets sida hos WordPress
