Un exploit 0-day para Magento permite robar datos bancarios de las tiendas online
Magento es una plataforma de comercio electrónico de código abierto propiedad de eBay que permite crear fácilmente tiendas online de forma gratuita donde los usuarios puedan vender cualquier tipo de contenido. Las tiendas online mueven a menudo un gran número de datos bancarios de sus clientes, por lo que deben tener activadas una serie de medidas de seguridad que eviten la fuga no autorizada de información y permitan a los clientes tener cierta confianza a la hora de introducir sus datos bancarios en ella.
Recientemente se ha podido conocer que un grupo de piratas informáticos está utilizando un exploit zero-day que aprovecha una vulnerabilidad (hasta ahora desconocida) para desviar la información bancaria de los clientes de tiendas basadas en Magento hacia sus propios servidores.
Expertos de seguridad están estudiando el exploit, aunque a primera vista lo que parece es que este consigue inyectar código malicioso en el archivo base de Magento o en alguno de los módulos para conseguir así acceder a la información bancaria de los clientes.
Lo más probable es que en los próximos días se pueda conocer más información sobre la vulnerabilidad y que los responsables del desarrollo publiquen una actualización que evite que se sigan robando datos bancarios en las tiendas online. Será responsabilidad del administrador de la tienda el actualizar su plataforma a la última versión para proteger lo mejor posible a sus clientes.
No es el primer ataque contra Magento
Este no es el primer fallo aprovechado por piratas informáticos. El pasado mes de abril una vulnerabilidad permitía ejecutar código remoto en los servidores que ejecutaban Magento de manera que los piratas informáticos podían obtener acceso a los datos de las tarjetas de crédito de los clientes y otra información financiera así como a la información personal de los clientes.
Más de un millón de sitios web utilizan Magento como base, por lo que las proporciones de este ataque son enormes. Por desgracia los usuarios no pueden saber que han sido víctimas de un robo hasta que sea ya demasiado tarde, por lo que es recomendable mantener siempre un control sobre los movimiento de nuestras cuentas y si detectamos alguno sospechoso debemos acudir a nuestra entidad bancaria lo antes posible para bloquear la tarjeta, poner la denuncia correspondiente y bloquear el pago a la espera de que si hay suerte podamos recuperar la totalidad o al menos una parte del dinero.
¿Alguna vez te has visto víctima de un robo de datos bancarios?
Fuente: The Hacker News
Quizá te interese:
- PayPal y Magento unen sus programas de recompensas con el de eBayF
- Una vulnerabilidad en Magento permite crear un usuario administrador