Eine neu bekannt gewordene kritische Sicherheitslücke in xt:Commerce 3 und mehreren Abkömmlingen der Onlineshop-Lösung wird zurzeit aktiv ausgenutzt, um Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden.
Es hat schon mehr als 230.000 Kunden vor allem aus Deutschland und Österreich erwischt. Anfällig für diesen Angriff sind nach Angaben von Heise wohl die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified; die Varianten xt:Commerce 4, Gambio und die aktuelle Version commerce:SEO sind nicht anfällig.
Bei der Sicherheitslücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauffunktion, über die sich die Angreifer Zugriff auf fast beliebige Datenbank-Inhalte verschaffen können.
Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO, die auch einen Server im Internet lokalisierten, der gestohlene Datensätze enthielt. Die inzwischen informierten Shop-Betreiber sollten deshalb dringend ihre Kunden warnen, dass das Passwort kompromittiert wurde.
xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch häufig eingesetzt. Wer heute immer noch xt:Commerce3 benutzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates seines Herstellers versehen wird. Alles andere muss man inzwischen als unverantwortlichen Umgang mit den anvertrauten Daten der Kunden ansehen.
