Egy pontatlanul körülírt biztonsági probléma miatt néhány Magento e-kereskedelmi platformot használó kereskedő oldalát használhatják kártyavisszaélésekre specializálódott bűnöző csoportok lopott, vagy egyéb visszaélés útján kiszivárgott kártyadatok érvényességének ellenőrzésére.
A ZDNET egy még nem publikus Magento közlemény ismeretében arra hívja fel a kereskedők figyelmét, hogy előfordulhat, hogy oldalaikon fekete kalapos hackerek folytathatnak nagyipari teszteket lopott kártya adatokkal.
Bár a Magento által március 26-án kiadott biztonsági frissítés listája így is igen hosszadalmas, konkrét utalást nem tartalmaz a feltételezett biztonsági problémára. A problémát egy beépített PayPal modul, a Payflow Pro Card fizetési rendszer okozhatja, amely lehetőséget biztosít arra, hogy egy 0 dolláros tranzakcióval a kereskedő ellenőrizze a kártya érvényességét, anélkül, hogy ez a felhasználó számláján tranzakcióként megjelenne.
A Payflow Pro Card fizetési rendszer lehetőséget biztosít a felhasználónak arra, hogy a site elhagyása nélkül fejezhesse be a tranzakciót. Ez azonban egyben lehetőséget kínál arra is, hogy illegálisan beszerzett kártyaadatokkal nagy mennyiségben teszteljék azok érvényességét, amelyekkel már valódi pénzügyi kárt is okozhatnak ezek a bűnözői csoportok.
Ahogy a PayPal írja: A PayPal csak a fizetési tranzakció sikeres befejezésért felelős és a háttérben fut. A vásárlónak nem kell meglátogatnia a PayPal weboldalát és a számlát a kereskedőnek kell kiállítani a vásárló felé és nem a PayPalnak. Mint az a fenti leírásból is kiderül, az elszámolás a kereskedő és a PayPal között történik, és nem igényel külön autentikációt a felhasználó részéről.
Ezek az érték nélküli tranzakciók tehát közvetlen, látható pénzügyi kárt nem okoznak senkinek, áttételesen azonban ennek a hibának a kijátszása már lehetőséget teremt arra, hogy az így ellenőrzött kártyákhoz tartozó számlákkal a bűnözők visszaéljenek.
Az igazi veszély leginkább a Magento platformot használó kereskedőket veszélyezteti, akiknek a gyanús tranzakciók miatt a PayPal akár a náluk vezetett számlájukat is megszüntetheti, így nem tudnak hozzáférni ezután saját számláikhoz.
Bár a Magento csapat a ZDNET megkeresésére azt válaszolta, hogy még nem találkoztak ilyen jellegű visszaélésekkel, egyes üzleti felhasználóknak azonban már voltak hasonló okok miatt problémáik a PayPallel. Leginkább azokban az esetekben szokta az üzleti felhasználókat büntetni a cég, ha nem járnak el elég körültekintően a felhasználók autentikációját illetően, például harmadik, külső fél által üzemeltett Captcha védelemmel belépéskor, vagy a tranzakció befejezésekor. Ezekben az esetekben, még ha nem is történik visszaélés az adott kereskedő oldalán, olykor csak a 10-12 ezer dolláros, egyénileg kiszabott büntetés után férhetnek hozzá újra a saját PayPal fiókjukhoz.
Mit tehetnek a Magento felhasználók?
A jelenlegi 2.3-as verzióról nem bizonyították még, hogy érintett, de mind a felhő alapú, mind a saját domainen futó 2.1-es és 2.2-es verziók esetén fennálhat a probléma. Bár a visszaélési lehetőségről egyelőre nincsenek pontos, nyilvános információk, érdemes lehet a Magento alapú site-okat üzemeltető kereskedődnek átfutniuk a Magento log fileokat, mivel az ilyen script segítségével lefutatott nulla dolláros tranzakciók PHP hibákat generálhatnak. Ezekből már kiderülhet, hogy az adott oldalt használják-e bűnözők visszaélésekre, és tisztességtelen úton beszerzett kártya adatok tesztelésére.