Peníze dokázali krást i přes košík (pokladnu) v e-shopu kvůli chybě vývojářů

Hackeři dokázali krást data o platebních kartách přímo z košíku e-shopu, když zákazník platil. Vážná bezpečnostní chyba napáchala nemalé škody.

iStock

Nakupování na internetu je dnes už pro spoustu lidí poměrně běžné, a to z mnoha důvodů. Je to však také další příležitost pro hackery, kteří se tak snaží lidi o něco okrást. V tomto případě upozorňuje theHackerNews na chybu, kvůli níž dokáží ukrást údaje o platebních kartách přímo z košíku (pokladny) e-shopu. Tu poslední „trhlinu“ sice vývojáři vyřešili, není však vyloučeno, že k tomu nedojde znovu, jak je zvykem u valné většiny škodlivého softwaru.

Údaje unikly o minimálně 160 tisících kartách

Zmínky o této metodě obohacování se sahají až do roku 2017, kdy bylo zatčeno několik ruských hackerů, kteří obešli bezpečnostní opatření mnoha stránek a získali tak přístup k jejich databázím. Dohromady přitom ukradli údaje o zhruba 160 000 platebních karet z různých zemí, uvádí theRecord, a následně je prodávali na darknetových fórech.

Metoda krade data rovnou z košíku

V tomto případě se jednalo o bezpečnostní chybu v Magento, což je open-source e-commerce platforma napsaná v PHP, kterou odkoupila v roce 2018 firma Adobe. U nás sice tolik známá není, slouží však k vytváření internetových obchodů a v globálním měřítku má 2,32% podíl, uvádí Wikipedia. V platformě byla přitom chyba, která hackerům umožňovala vkládat do kódů e-shopů škodlivý kód a krást tak údaje o kartách přímo z košíku.

Nějakým podrobným procesem vás nebudu zatěžovat, ostatně ani není v tomto případě úplně podstatný. Magento již mělo tuto chybu opravit, jak uvedl web theHackerNews zmíněný výše, i tak ale hackeři napáchali nemalé škody. Metoda známá jako Magecart navíc není úplně nová, využívaná je již několik let, pouze bývá těžší ji aplikovat.

Tento případ, ačkoliv se nejspíše nedotýkal mnoha zákazníků v ČR, ukazuje minimálně na zranitelnost některých systémů, a to i přesto, že patří k největším na světě. V tomto směru asi můžeme být rádi, že je ČR relativně malý a pro hackery tedy ne tak zajímavý trh.