Kundendaten durch xt:Commerce-Lücke geklaut

Kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen wird derzeit aktiv ausgenutzt

Eine weitere kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen wird derzeit aktiv ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden. Betroffen sind bereits über 230.000 Kunden vor allem aus Deutschland und Österreich. Anfällig ist offenbar die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified; die Varianten xt:Commerce 4, Gambio und die aktuelle Version commerce:SEO sind nicht anfällig.

Bei der Lücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauf-Funktion, über die sich Angreifer Zugriff auf quasi beliebige Datenbank-Inhalte verschaffen können. Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO, die auch einen Server im Internet lokalisierten, der geklaute Datensätze enthielt. heise Security stellte bei einer schnellen Sichtung fest, dass es sich bei den dort abgelegten Passwort-Dumps größtenteils um ungesalzene MD5-Hashes handelt, die halbwegs ernsthaften Knackversuchen nicht viel Widerstand entgegensetzen. Die mittlerweile informierten Shop-Betreiber sollten also ihre Kunden warnen, dass das Passwort kompromittiert wurde. Ein schneller Check förderte immerhin über 231.000 verschiedene E-Mail-Adressen vor allem aus Deutschland und Österreich zu Tage.

Link zum vollständigen Artikel bei Heise Online:
http://www.heise.de/newsticker/meldung/Schon-wieder-hunderttausende-Kundendaten-durch-xt-Commerce-Luecke-geklaut-2083403.html

AIXPRO unterstützt Sie bei der Migration von OSCommerce oder xt:Commerce auf Shopware!

Im ersten Schritt wird der vorhandene osCommerce bzw. xt:Commerce Shop vom alten Provider auf AIXPRO SSD Performance Hosting übertragen. Im weiteren Verlauf wird der osCommerce-Shop zunächst auf xtCommerce Veyton migriert mit Ziel der Übernahme von Kategorien, Artikeln nebst Artikelbildern, Kundenkonten und Bestellungen. Dank des hervorragenden Shopware Migrationsplugins können nun im letzten Schritt sämtliche Daten problemlos in Shopware 4.1.4 importiert werden.

Interessiert ? Sprechen Sie uns an.