Новая уязвимость в платформе Magento: как хакеры взламывают онлайн-магазины

Обнаружена серьёзная уязвимость в программном обеспечении, которое управляет тысячами интернет-магазинов. Платформа Magento и её платная версия Adobe Commerce содержат баг, позволяющий злоумышленникам проникать в активные сессии покупок. Некоторые атаки дают возможность полностью контролировать магазин.

Что такое SessionReaper и как он работает

Эта уязвимость получила название SessionReaper. Она позволяет хакерам выдавать себя за настоящих клиентов без использования пароля. В результате злоумышленники могут похищать данные, создавать фальшивые заказы или внедрять вредоносное ПО для сбора информации о кредитных картах.

Причина уязвимости и её последствия

Проблема скрыта в системе обмена данными между магазином и внешними сервисами. Из-за неправильной проверки полученной информации программное обеспечение доверяет некорректным данным, позволяя злоумышленникам подделывать файлы сессий, которые магазин принимает за настоящие. Это открывает дверь для кражи данных клиентов, фальсификации заказов и полного захвата сервера магазина.

Распространение уязвимости и реакция разработчиков

После публикации метода атаки злоумышленники начали массово использовать его. За первый день было зафиксировано более 250 взломанных интернет-магазинов. Adobe выпустила обновление безопасности 9 сентября, но многие владельцы магазинов по-прежнему не установили его из опасений сломать сайт или из-за недопонимания масштабов угрозы.

Как защититься при покупках онлайн

Пока владельцы сайтов работают над исправлением, покупатели могут предпринять меры для собственной защиты. Обратите внимание на поведение сайта: медленная загрузка, ошибки или необычный внешний вид могут свидетельствовать о проблемах. Проверяйте наличие HTTPS — защищённого соединения, по значку в адресной строке.

Осторожно с фишингом и фальшивыми предложениями

Мошенники используют поддельные письма и рекламу, чтобы заманить вас на вредоносные сайты. Не кликайте по ссылкам в сообщениях — лучше введите адрес магазина вручную. Также рекомендуется использовать сервисы, которые помогают удалять ваши личные данные из баз данных злоумышленников, снижая риск кражи личности.

Защита данных и антивирус

Установите надёжное антивирусное ПО, которое обеспечивает защиту в реальном времени, предупреждает о вредоносных сайтах и автоматически обновляется. Это создаст дополнительный уровень защиты при посещении онлайн-магазинов, особенно если сайт кажется подозрительным.

Советы по безопасным платежам и проверка репутации

Используйте платёжные системы с дополнительной защитой, такие как PayPal или Apple Pay, чтобы не передавать номер карты напрямую магазину. Перед покупкой убедитесь в надёжности сайта: отзывы, контактные данные и профессиональный дизайн помогают избежать мошенничества.

Обновляйте устройства и создавайте уникальные пароли

Обязательно устанавливайте все последние обновления системы и браузера — они исправляют уязвимости. Для каждого аккаунта используйте сложные пароли и менеджеры паролей, чтобы не повторять их. Также проверьте, не попадали ли ваши адреса в утечки данных — это поможет вовремя изменить пароли.

Использование двухфакторной аутентификации

Если возможность, включайте двухфакторную аутентификацию на всех важных сервисах. Это значительно усложняет доступ злоумышленникам, даже если они получили ваш пароль.

Безопасность при использовании публичных Wi-Fi

Избегайте входа в личные аккаунты или оплат в общественных сетях, таких как кафе или аэропорты. Если нужно совершить покупку, используйте мобильный интернет или VPN для шифрования соединения.

Реагируйте быстро при подозрениях

Проверяйте банковские выписки на необычные операции. При обнаружении подозрительных транзакций связывайтесь с банком или кредитной компанией. В случае подозрений о взломе аккаунта или платёжной информации — немедленно сообщайте об этом и блокируйте доступ.