2min

In februari werd er een patch uitgebracht voor de webshop-software Magento, deze patch dicht een groot beveiligingslek in de software. Twee maanden later kan echter worden geconcludeerd dat veel webshops de patch nog steeds niet hebben geïnstalleerd en wagenwijd open staan voor hackers.

In februari werd een kritiek lek gedicht in de webshop-software Magento, door misbruik te maken van het lek kunnen kwaadwillenden code uitvoeren op de website. Vervolgens zou het mogelijk zijn om volledig toegang te krijgen tot de webshop en zelfs tot de creditcardgegevens van klanten. Webshops worden dan ook aangeraden om de patch zo snel mogelijk toe te passen.

Inmiddels proberen kwaadwillenden op grote schaal de Magento-webshops te hacken. Volgens webhoster Byte zijn er zo’n acht voornamelijk Russische ip-adressen actief op zoek naar ongepatchte Magento-installaties. In Nederland zouden op dit moment nog zo’n 100.000 webshops ongepatcht zijn, wat neerkomt op ongeveer 50 procent van de Magento-installaties.

Enkele grote webshops zijn inmiddels wel van de patch voorzien, maar bij veel kleinere webshops staat de software nog wagenwijd open. Inmiddels is er een online tool verschenen waarmee Magento-gebruikers kunnen controleren of hun software gepatched is of niet.

Magento is zogenaamde open source-software, waarvan de broncode die algemeen beschikbaar is, het voordeel voor webshops is dat ze geen licentiekosten hoeven te betalen, het nadeel is dat lekken in de software sneller worden gevonden en misbruikt. Gisteren schreven we ook over WordPress, eveneens open source-software, dat voor de tweede keer in korte tijd een kritiek lek heeft moeten patchen en gebruikers nu oproept zo snel mogelijk hun software bij te werken.