Wieder Hunderttausende Kundendaten über Sicherheitsleck in xt:Commerce gestohlen

xtc-logoEine neu bekannt gewordene kritische Sicherheitslücke in xt:Commerce 3 und mehreren Abkömmlingen der Onlineshop-Lösung wird zurzeit aktiv ausgenutzt, um Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden.

Es hat schon mehr als 230.000 Kunden vor allem aus Deutschland und Österreich erwischt. Anfällig für diesen Angriff sind nach Angaben von Heise wohl die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified; die Varianten xt:Commerce 4, Gambio und die aktuelle Version commerce:SEO sind nicht anfällig.

Bei der Sicherheitslücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauffunktion, über die sich die Angreifer Zugriff auf fast beliebige Datenbank-Inhalte verschaffen können.

Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO, die auch einen Server im Internet lokalisierten, der gestohlene Datensätze enthielt. Die inzwischen informierten Shop-Betreiber sollten deshalb dringend ihre Kunden warnen, dass das Passwort kompromittiert wurde.

xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch häufig eingesetzt. Wer heute immer noch xt:Commerce3 benutzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates seines Herstellers versehen wird. Alles andere muss man inzwischen als unverantwortlichen Umgang mit den anvertrauten Daten der Kunden ansehen.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Soziales abgelegt und mit , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.