Az eddigi legnagyobb automatizált skimming akció elsősorban Magento 1 rendszert használó webshopok ellen irányult. Az üggyel kapcsolatban Ocskay Lászlót, a Magento-rendszerekkel foglalkozó Oander Development Kft. társügyvezetőjét kérdeztük.
A Sansec kiberbiztonsági vállalat szerint a támadást a Magecart hackercsoporttól megszokott módszerrel hajtották végre, és nagyjából 2000 webshop ellen irányulhatott.
A weboldalakba rosszindulatú kódot juttattak be, amelynek segítségével meg tudták szerezni a gyanútlan vásárlók bankkártya-adatait a fizetés során. Az exploit kódot egy orosz hacker hirdette meg eladásra egy fórumon néhány héttel ezelőtt, és állítása szerint 10 példányban értékesítette. A cég becslései szerint az akció sértettjeinek száma akár több tízezer is lehetett. Az esetről a Nemzeti Kibervédelmi Intézet is beszámolt.
A támadást elsősorban Magento 1 rendszerű webshopok ellen indították, amelyhez tavaly június óta nincsen további terméktámogatás. Ennek ellenére a Sansec adatai szerint még mindig kb. 95000 webshop létezik világszerte, amely továbbra is a népszerű webáruház-platform régi verzióján fut. Az itthoni tapasztalatokról és a szükséges óvintézkedésekről, teendőkről Ocskay Lászlót kérdeztük.
Tudnak-e a támadásban érintett hazai oldalakról?
Nem tudunk hazai érintettekről, szerencsére a Magento 1.9-es verzión üzemelő ügyfeleink közül egyik sem érintett a támadásban. Ahogy olvastuk, a 2000 site nagy része amerikai volt. Valószínűleg Magyarország nem került célkeresztbe, mivel a Közép-Európát érintő támadások nem okoznak akkora hírverést, mint egy amerikai piacon történő tömeges feltörés. Így ez nem érdeke a hackereknek, amennyiben „visszhangkeltés” volt a cél.
Mennyire tartják komoly problémának az esetet a hasonló, korábbi példákhoz képest?
Az utóbbi évek egyik legkomolyabb Magecart-stílusú támadása volt. A webáruházak terjedésével az elmúlt években megnőtt a bankkártyaadatok ellopására irányuló hackertámadások száma, de ez a mostani minden eddiginél több webshopot érintett. Hogy miért a Magento került a célkeresztbe? Egyszerű: a hackercsoport kihasználta a Magento 1-es verziójának sérülékenységét, amely minden eddiginél nagyobb kockázatot jelent, miután az Adobe június végével megszüntette az 1-es rendszerek támogatását. Az Adobe és mi is felhívtuk az érintettek figyelmét a veszélyekre. Ez a támadás volt az intő példa, hogy komolyan kell venni a sérülékenységet.
Ha valaki jelenleg még Magento 1-es webshoppal rendelkezik, milyen biztonsági intézkedéseket érdemes tennie?
Az első tanácsunk az lenne, hogy minél gyorsabban cserélje le Magento 2-es verzióra a webáruházát. A viccet félretéve, ha erre valamilyen okból kifolyólag nincs mód, akkor első lépésként érdemes a korábban kiadott minden biztonsági frissítést telepíteni az oldalra. Fontos, hogy webshopunk https-alapú legyen. A Google amúgy is bünteti a http-oldalakat, illetve a böngészők úgy jelenítik meg ezeket, hogy nem biztonságos felületen adjuk meg adatainkat.
Fontosak a webáruház szerverkonfigurációi is: megfelelő beállításokkal elejét lehet venni sokféle támadásnak. Végül ami minden site-nál hasznos lehet, az a recaptcha használata minden olyan felületen, ahol adatokat adhatnak meg a felhasználók (regisztráció, hírlevél feliratkozás, pénztár, stb.), ezzel kivédhetjük a robotfeliratkozásokat. Mindezen fejlesztések segítségével biztonságosabbá tehetjük webáruházunkat, de ne felejtsük el: a sérülékenység továbbra is fennáll.
A hazai Magento-felhasználók kb. mekkora százaléka váltott már Magento 2-re?
Sok száz kereskedő használ Magento áruházakat Magyarországon. A nagyobb, milliárdos nagyságrendű forgalmakat bonyolító shopok nagy része már váltott, váltás alatt áll, vagy beütemezte a Magento 2 rendszerre való átállást.
A kisebb forgalmú shoptulajdonosok nehezebben lépnek, mivel az elmúlt években az Adobe egyre több energiát fordít arra, hogy a Magento a rendszer képességeinek megfelelő terepet nyújtó vállalati kategóriában kerüljön alkalmazásra. Ezt számos fejlesztéssel támogatják, ami ugyanakkor növeli a rendszer alkalmazásának belépési korlátait is. Az Adobe által a Magento 2 belépési szintjeként definiált „amerikai small business-kategória” a nagyobb hazai kisvállalatok, illetve közép- és nagyvállalati retailerek rétegének felel meg. Sok száz kisebb shop nyilván nem engedheti meg magának ezt az ugrást, ők valószínűleg lefelé váltanak.
Mi a fő oka, hogy a verziótámogatás megszűnése ellenére még mindig sokan használják a régi rendszert?
A legfőbb oka, hogy az átállás egy nagyobb volumenű és hosszabb kifutású projekt, nem egy egyszerű verzióváltásról van szó. Mi az ügyfeleinknek azt szoktuk ilyen esetben tanácsolni, hogy pozitív lehetőségként tekintsenek a generációváltásra, hiszen egy modern, friss rendszert kapnak, újra lehet gondolni a felületeiket, újra optimalizálhatjuk a folyamataikat. Ilyenkorra érdemes időzíteni az arculatváltást, így egyszerre eshet át teljes ráncfelvarráson a márkánk és a webshopunk is.
A verziófrissítés halogatásának másik okát egyik ügyfelünk fogalmazta meg nagyon jól. Nekik egy időben van egy Magento 1-es és két Magento 2-es webáruházuk. Ők azt vallják, hogy jobb üzleti lehetőség egy új site-ot indítani a már meglévők mellé (például új ország felé terjeszkedni), és ezzel plusz forgalmat szerezni, miközben a régi, 1-es Magento folyamatosan hozza a pénzt. Ennek ellenére látják ők is, hogy előbb utóbb kénytelenek váltani, de a financiális okok miatt ők kivárnak a végsőkig.