Меню

6000 интернет-магазинов попали под хакерский удар

Игорь Бахарев

Исследователь компьютерной безопасности Вилль де Гроот опубликовал результаты своего анализа применения в сети вредоносного JavaScript-кода, нацеленного на перехват содержимого форм ввода для кражи номеров кредитных карт.

По словам аналитика, «интернет-скимминг» усиленно набирает обороты - по сравнению с прошлым годом число сайтов, на которых встречается вредоносный JavaScript-код, возросло на 69%. Всего исследователи просканировали код около 255 тысяч интернет-магазинов, и из них 5925 сайта попали в список пораженных. Для сравнения: в прошлом году было зарегистрировано лишь 3500 зараженных интернет-магазинов.

Пораженные сайты могут стать источником утечки данных о параметрах кредитных карт клиентов. Эта информация потом продается злоумышленниками на черном рынке. Стоимость одной карточки достигает 30 долларов.

Одним из способов распространения вредоносного ПО является «дыра» в движке электронной коммерции Magento. Выявлено несколько способов использования критической уязвимости в этой системе для того, чтобы разместить зловредный код на сайте. В том числе встречаются как простые и читаемые скрипты, так и достаточно изощренные варианты c многоуровневым запутыванием следов.

Интересно, что результаты анализа сайтов изначально были опубликованы на GitHub и GitLab, однако вскоре их удалили. Тогда представители GitLab заявляли, что не стоит предоставлять сведения о уязвимых сайтах до того, как те устранят проблему. При этом в списке были уже зараженные магазины, с помощью которых точно могли быть украдены данные кредитных карт. Впрочем, точный список сайтов сейчас находится в свободном доступе на GitLab.

Персонал некоторых сайтов из списка утверждает, что их магазины попали в список по ошибке и не поражены вредоносным ПО, однако Вилль де Грот уверен, что они без лишней огласки устранили проблему и теперь пытаются сохранить репутацию. Подтверждение тому можно найти в кэше на archive.org.

В январе в платформе для организации электронной коммерции Magento, которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), было выявлено 20 уязвимостей. Проблемы уже устранены в выпусках Magento 1.9.2.3, 1.14.2.3 и 2.0.1.

Magento является самой популярной платформой в Европе и США, на их платформе запущено очень много интернет-магазинов, в том числе крупных и известных, - рассказывает директор по электронной коммерции агентства Aero Павел Костин. Эксперт считает, что последние новости вряд ли серьезно ударят по репутации этой платформы, однако это повод всем разработчикам, работающим с Magento, лишний раз залезть в код и проверить, нет ли каких-либо уязвимостей на их сайте и порекомендовать клиентам обновиться.

"У меня в практике один раз случился crash Magento из-за уязвимости в системе, после чего сайт ушел в downtime почти на сутки, пока мы совместно с командой разбирались с ситуацией. Тем не менее, эта новость - не повод винить только Magento - любая система имеет свои минусы и плюсы. Тут речь скорее идет про активность и адекватность интеграторов", - говорит Костин.

Интернет-мошенничество или фрод - это очень актуальная тема в eCommerce, считает менеджер по маркетингу продуктов компании "Код безопасности" Павел Коростелев. "Из торговли похищенными данными кредитных карт появилась целая отрасль теневой экономики. Центробанк очень активно мотивирует банки внедрять системы обнаружения мошеннических операций для минимизации возможных потерь клиентов", - говорит он.

Материал по теме

"Amazon Room": новый взгляд на безопасную доставку

Материал по теме

Как eCommerce провел это лето: аналитика Assist

Материал по теме

Победившие и проигравшие в пандемию: аналитика "Эвотор" и ЮKassa

Подписаться на новости

Актуальное сейчас

"Сделано в НАО": как выглядят региональные маркетплейсы в 2020

2019 год ознаменовался настоящим бумом марекетплейсов. Пришла мода и на региональные площадки, которые заточены под продукцию определенного региона. Владелец площадки "Сделано в НАО" Евгений Тимошин дал крат...

"Утконос" пришел в Петербург

Сервис доставки продуктов "Утконос" начал работать в Санкт-Петербурге. Компания презентовала рекламный ролик о выходе на новый рынок. На первом этапе доставка будет доступна внутри КАД, а в перспективе расш...

"Amazon Room": новый взгляд на безопасную доставку

Голливудские богачи всё чаще заводят у себя дома так называемые "комнаты Amazon", сообщил изданию The Hollywood генеральный директор и основатель агентства недвижимости The Agency Маурисио Умански. Э...

Как выглядит "магазин будущего": версия X5 Retail Group

X5 Retail Group открыла первый в России полностью автоматизированный магазин "Пятерочка налету", ориентированный на новое поколение потребителей и бесконтактные покупки товаров повседневного спроса. Рассмотрим,...

Илья Микин (iHerb): Как бондовые склады могут помочь покупателям, продавцам и экономике

1 ноября в Татарстане стартует пилотный проект по созданию первого в России бондового склада (зоны). Станет ли он успешным зависит от того, удастся ли инициаторам проекта и регуляторам предложить потенциальн...

"Глобус" запустил собственный сервис заказа продуктов

Сеть гипермаркетов "Глобус" и сервис доставки продуктов igooods запустили интернет-магазин на основе технологии Whitelabel. Новый сервис позволяет оформить заказ на сайте igooods.globus.ru без отдельног...