Vulnerabilidade em plataforma líder no comércio varejista on-line deixa milhões de cartões de créditos e consumidores on-line vulneráveis e expostos a riscos
A Check Point anuncia que seu grupo de pesquisas de vulnerabilidade e malware descobriu uma vulnerabilidade crítica de execução remota de códigos na Magento, plataforma de comércio eletrônico do grupo eBay, que afeta quase duzentos mil consumidores on-line.
Quando explorada, essa vulnerabilidade permite que os invasores comprometam completamente qualquer loja on-line baseada na plataforma Magento, inclusive as informações de cartão de crédito e outros dados pessoais e financeiros dos clientes.
A vulnerabilidade permite que qualquer invasor contorne todos os mecanismos de segurança e obtenha o controle da loja e de todo seu banco de dados, possibilitando o roubo de cartões de crédito ou outro acesso administrativo ao sistema.
“As compras on-line continuam superando as compras nas lojas e os sites que operam com comércio eletrônico se tornam cada vez mais visados pelos hackers por terem se transformado em uma mina de ouro para informações de cartões de crédito”, afirma Shahar Tal, diretor de pesquisas de vulnerabilidade e malware da Check Point Software Technologies. “A vulnerabilidade descoberta é uma ameaça significativa não só para uma loja, mas para todas as marcas de varejo que usam a plataforma Magento em suas lojas on-line, que representam cerca de 30% do mercado do comércio eletrônico.”
A Check Point divulgou ao eBay, de forma privada, essas vulnerabilidades, assim como uma lista com sugestões para reparos, antes de divulga-las ao público.
Um patch para solucionar essas falhas foi lançado em 9 de fevereiro de 2015 (SUPEE-5344 e está à disposição aqui). Recomenda-se que administradores e proprietários de lojas usem o patch imediatamente.
Já os clientes da Check Point estão protegidos contra as tentativas de exploração desta vulnerabilidade por meio do módulo de software com IPS (Sistema de Prevenção de Intrusão).
As divisões de Pesquisas e Inteligência de Ameaças da Check Point investigam regularmente ataques, vulnerabilidades e invasões, e desenvolvem proteções para garantir a segurança dos clientes da Check Point. Para obter mais informações sobre outras descobertas das pesquisas da Check Point, acesse: /threatcloud-central/.