Nguy cơ mất cắp thông tin thẻ tín dụng khi mua hàng trên 1 triệu trang web Magento

www.tuoitre.vn -   01/07/2015 08:00:00 2101

Một hãng bảo mật đã phát hiện ra chiến dịch tăng cường khai thác lỗ hổng bảo mật trên nền tảng thương mại điện tử Magento phổ biến nhất hiện nay để đánh cắp thông tin thanh toán và thông tin thẻ tín dụng của người dùng.

Hơn 1 triệu trang web Magento có thể bị đánh cắp thông tin thẻ tín dụng

Magento là mã nguồn mở được xây dựng bằng PHP giúp cho lập trình viên có thể tạo ra các trang web thương mại điện tử.  Mã nguồn này thuộc sở hữu của trang web nổi tiếng eBay. Hiện nay, Magento được hơn 1 triệu website thuộc top do Alexa xếp hạng sử dụng.

Mã nguồn Magento có trong các website thương mại điện tử không chỉ giúp quản lý hoạt động mua bán diễn ra trên web, mà còn có tính năng liên quan đến thanh toán. Nhiều phương thức thanh toán qua thẻ tín dụng, PayPal, Authorize.net, Google Checkout, hỗ trợ các mô-đun thanh toán bên ngoài như CyberSource, ePay, eWAY và nhiều hơn thế đều được tích hợp trên Magento. Ở Việt Nam cũng có rất nhiều website bán hàng trực tuyến, các trang deal/ mua hàng theo nhóm đều có sử dụng mã nguồn Magento khi khởi tạo.

Vào tháng tư vừa rồi, một lỗ hổng thực thi mã từ xa quan trọng trong Magento cũng đã bị tin tặc khai thác. Lỗ hổng này cho phép kẻ xấu xâm nhập vào hệ thống bất kì cửa hàng trực tuyến, trang web bán hàng nào và chiếm quyền truy cập dữ liệu thẻ tín dụng của khách hàng.

Hơn 1 triệu trang web Magento có thể bị đánh cắp thông tin thẻ tín dụng

Hiện nay, các nhà nghiên cứu bảo mật cho biết tội phạm mạng đang tiêm nhiễm mã độc vào các tập tin lõi nền tảng Magento hoặc một số module, tiện ích mở rộng phổ biến nhất để đánh cắp vào thu thập dữ liệu thanh toán qua thẻ tín dụng. Họ đã phát hiện một đoạn scrip tấn công đã đánh cắp nội dung của tất cả lệnh POS và xác định dữ liệu thẻ thanh toán có giá trị trước khi lưu trữ dưới dạng mã hóa hiển thị theo kiểu ảnh .JPEG giả. Nếu tải “ảnh giả” này qua trình duyệt  web, người dùng sẽ chỉ nhìn thấy hiển thị ảnh lỗi mà không có bất cứ thông tin gì khác. Chỉ có tin tặc là có thể giải mã những tập tin này bằng cách sử dụng Public_Key (khóa công khai).

Chưa hết, để tránh bị phát hiện, các công cụ tấn công còn kèm theo chức năng tự xóa dấu vết mà không ai hay biết. Hậu quả là một lúc nào đó, người dùng có thông tin thẻ bị xâm nhập sẽ phát hiện ra những bất thường và thiệt hại trong tài khoản thẻ tín dụng của mình qua các báo cáo của ngân hàng.

Xuân Dung

(*) Hãy trích dẫn nguồn Kaspersky Shop khi sao chép bài viết

 

 

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 194
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 163
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 166
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 176
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 147
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 86
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ