示意圖,圖片來源/Magento

專門監控線上支付側錄犯罪行動的Sansec在本周指出,從上周五(9/11)到本周一(9/14),就有1,904家採用Magento 1的電子商務網站遭到駭客入侵,駭客攔截了這些網站的付款頁面,以搜括消費者的付款資訊,是該公司從2015年以來所發現的最大規模的線上側錄行動。

Magento為一以PHP撰寫的開源電子商務平臺,在2018年被Adobe以16.8億美元收購,成立於2008年的Magento已在2015年釋出新的Magento 2平臺,並在今年6月終止對Magento 1的支援,雖然Magento提供了從Magento 1遷移到Magento 2的官方工具,但根據Sansec的統計,大約還有9.5萬個電子商務網站依然運作在Magento 1上。

Sansec指出,駭客在這些Magento 1網站上的付款頁面植入了惡意程式,來攔截消費者所輸入的付款資訊,該公司上周五僅於10個網站發現相關的側錄程式碼,周六爆增到1,058個,周日630個,周一也有233個,總計至少有1,904個Magento 1網站被開採。

值得注意的是,在此次被開採的Magento 1網站中,不少網站過去並未傳出任何安全意外,顯示駭客採用了新的攻擊途徑,同時,駭客已於地下論壇中兜售Magento 1的遠端程式攻擊工具,售價為5,000美元,宣稱不需要取得Magento管理帳號就能發動攻擊,還附上了攻擊指南影片。

Sansec猜測,這是因為Magento 1是個壽終正寢的產品,已無任何的官方修補程式,因此一旦被發現漏洞,很容易就成為駭客攻擊的目標,該公司建議採用Magento 1的電子商務業者應該要儘快升級到Magento 2,或是向第三方業者訂閱Magento 1的漏洞修補服務。


Advertisement

更多 iThome相關內容