Più di 2.800 negozi Magento sono stati compromessi nel corso delle ultime due settimane; si tratta della più grande campagna di hacking dal 2015. Adobe prima, Visa e MasterCard poi avevano avvisato già un mese prima.

Più di 2.800 negozi online Magento sono stati violati durante lo scorso fine settimana in quella che gli esperti di sicurezza hanno descritto come la "più grande campagna di hacking mai vista". Gli store Magento 1, in tutto il mondo, sono stati violati attraverso l’iniezione di un codice dannoso, attacco di tipo skymming, che ha intercettato i dati relativi alle carte di credito.

Lo rileva Sanguine Security, SanSec società olandese di sicurezza informatica specializzata nel monitoraggio degli attacchi Magecart, in una indagine pubblicata sul suo sito.

De Groot, fondatore di SanSec ha affermato:

"Questa campagna automatizzata è di gran lunga la più vasta che Sansec abbia identificato da quando ha iniziato il monitoraggio nel 2015", "Il record precedente era di 962 negozi hackerati in un solo giorno nel luglio dello scorso anno."

Gli attacchi erano un tipico schema Magecart: gli hacker che hanno violato i siti hanno inserito script dannosi nel codice sorgente dei negozi; il codice a questo punto registrava i dettagli delle carte di credito degli acquirenti inseriti nei moduli di pagamento.

Il dirigente SanSec ha affermato che la maggior parte dei siti compromessi eseguiva la versione 1.x del software del negozio online Magento. Questa versione di Magento ha raggiunto la fine del ciclo di vita (EOL) il 30 giugno 2020 e attualmente non riceve più aggiornamenti di sicurezza.

Il pericolo era già noto!

La cosa grave è che Adobe, proprietaria di Magento, già da Aprile 2019, aveva avvisato della fine del supporto di sicurezza e che sarebbe stato necessario aggiornare alle versioni 2.x; successivamente anche MasterCard e Visa avevano avvisato del pericolo. Sembra infatti che gli esperti di sicurezza già sapessero che gli hacker fossero “seduti sui loro exploit Magento 1.x” in attesa che arrivasse la fine del supporto.

Sebbene de Groot non abbia ancora identificato come gli hacker siano entrati nei siti che sono stati presi di mira durante il fine settimana, il fondatore di SanSec ha affermato che gli annunci per una vulnerabilità zero-day di Magento 1.x sono stati pubblicati su forum di hacking sotterranei il mese scorso, confermando che gli hacker avevano aspettato che arrivasse l'EOL.

In un annuncio sul dark web, un utente con il nome di z3r0day, già vendeva un exploit RCE (Remote Code Execution) per realizzare le violazioni, per $ 5.000. L’offerta era ritenuta credibile ed ecco il motivo degli allarmi lanciati dai circuiti delle carte di credito e da Adobe.

I siti che utilizzano questa tecnologia nella versione non aggiornata di Magento sono ancora molte migliaia e si affidano principalmente a soluzioni firewall per applicazioni web (WAF) per fermare gli attacchi.

Questa, evidentemente, è una strategia molto rischiosa e sicuramente non è una decisione intelligente, soprattutto a lungo termine.

Conclusioni

Ancora una volta, la leggerezza con cui viene affrontato il tema della sicurezza è stata la causa principale di un disastro per tutti quelli che sono rimasti coinvolti.