Menü
Alert!

Schon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklaut

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 54 Beiträge
Von

Eine weitere kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen wird derzeit aktiv ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden. Betroffen sind bereits über 230.000 Kunden vor allem aus Deutschland und Österreich. Anfällig ist offenbar die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified vor Version 1.05 SP1; die Varianten xt:Commerce 4, Gambio und aktuelle Versionen von commerce:SEO und Modified sind nicht anfällig.

Bei der Lücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauf-Funktion, über die sich Angreifer Zugriff auf quasi beliebige Datenbank-Inhalte verschaffen können. Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO, die auch einen Server im Internet lokalisierten, der geklaute Datensätze enthielt. heise Security stellte bei einer schnellen Sichtung fest, dass es sich bei den dort abgelegten Passwort-Dumps größtenteils um ungesalzene MD5-Hashes handelt, die halbwegs ernsthaften Knackversuchen nicht viel Widerstand entgegensetzen. Die mittlerweile informierten Shop-Betreiber sollten also ihre Kunden warnen, dass das Passwort kompromittiert wurde. Ein schneller Check förderte immerhin über 231.000 verschiedene E-Mail-Adressen vor allem aus Deutschland und Österreich zu Tage.

xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch von vielen Shops eingesetzt. Bereits bei der erst vor einem Monat entdeckten Lücke signalisierte der Hersteller, dass es kein offizielles Update zur Behebung des Fehlers geben wird. Commerce:SEO stellt einen Fix bereit, der auch xt:Commerce 3 und xtcModified 1.05 abdichten soll. Wer jedoch immer noch xt:Commerce3 einsetzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates des Herstellers versehen wird. Alles andere ist mittlerweile als unverantwortlicher Umgang mit den anvertrauten Daten der Kunden anzusehen.

Update 13.1.2014, 11:30: Angaben zu verwundbaren Modified-Versionen gemäß Hersteller-Angaben nachgetragen. (ju)