Check Point, attraverso il Malware and Vulnerability Research Group, ha scoperto una vulnerabilità critica di tipo RCE (Remote Code Execution) nella piattaforma web di e-commerce di eBay, Magento, che riguarda circa 200.000 shop online. Se sfruttata, la vulnerabilità offre ai criminali informatici la possibilità di compromettere qualsiasi store online basato sulla piattaforma Magento, con l’eventualità di accedere alle informazioni sulle carte di credito e ad altri dati finanziari e personali dei clienti. La vulnerabilità consente a qualsiasi aggressore di bypassare tutti i meccanismi di sicurezza e ottenere il controllo dello store e del suo completo database, consentendo il furto di carte di credito o di qualsiasi altro accesso amministrativo all’interno del sistema.
Shahar Tal, Malware and Vulnerability Research Manager di Check Point Software Technologies Poiché lo shopping online cresce in maniera superiore al tradizionale shopping in-store, i siti di e-commerce vengono presi di mira in maniera crescente dagli hacker poiché sono diventati una miniera d’oro per le informazioni relative carte di credito. La vulnerabilità che abbiamo scoperto rappresenta una minaccia significativa non solo per uno specifico store, ma per tutti i marchi retail che utilizzano la piattaforma Magento per i loro negozi online – e che rappresentano circa il 30% del mercato e-commerce globale.
Check Point ha segnalato privatamente a eBay questa vulnerabilità assieme a una lista di indicazioni per la sua risoluzione prima di renderlo pubblico. Una patch per risolvere le falle era stata rilasciata il 9 febbraio scorso. Per maggiore sicurezza, si raccomanda vivamente ai proprietari e agli amministratori degli store di applicare immediatamente questa patch.
