Η Adobe έχει προσθέσει τον έλεγχο ταυτότητας δύο παραγόντων (2FA) σε ολόκληρη την πλατφόρμα Magento ως απάντηση στον εκτεταμένο αριθμό επιθέσεων όπου αναπτύσσονται skimmer scripts σε παραβιασμένα e-commerce sites για να κλέψουν τις κάρτες των πελατών.
“Η χρήση της ασφάλειας 2FA θα σας προστατεύσει καλύτερα από κακόβουλους χρήστες που προσπαθούν να εκτελέσουν μη εξουσιοδοτημένες συνδέσεις σε τρια διαφορετικά sections: λογαριασμούς Magento.com, Cloud Admin και Magento Admin”, λέει η Adobe.
Η επέκταση Magento 2FA υποστηρίζει πολλούς authenticators, συμπεριλαμβανομένων ενδεικτικά των κλειδιών Google Authenticator, Authy, Duo και U2F. Το 2FA ισχύει μόνο για χρήστες Magento Admin και δεν είναι διαθέσιμο για λογαριασμούς πελατών στο ηλεκτρονικό κατάστημα.
Αυτή η επέκταση 2FA θα εγκατασταθεί αυτόματα ως Core Bundled Extension (CBE) κατά την εγκατάσταση ή την αναβάθμιση σε Magento Open Source ή Commerce 2.4.X.
Οι παραβιασμένοι λογαριασμοί admin αντιπροσωπεύουν το 75% των επιθέσεων Magecart
Σύμφωνα με την ομάδα του Adobe Security Operations, περίπου το 75% όλων των διαδικτυακών επιθέσεων (γνωστών και ως Magecart ή e-skimming) προκλήθηκαν από τους επιτιθέμενους που ήταν σε θέση να αναπτύξουν skimmer scripts καρτών σε ιστότοπους του Magento Commerce μέσω παραβιασμένων admin λογαριασμών.
Οι hackers που χρηματοδοτούνται από διάφορα κράτη εμπλέκονται επίσης σε τέτοιες επιθέσεις, όπως αναφέρει η εταιρεία ασφάλειας Sansec, η οποία πρόσφατα ανακάλυψε ότι η ομάδα hacking της Βόρειας Κορέας Lazarus (Hidden Cobra) κλέβει τις πληροφορίες καρτών πληρωμών από πελάτες μεγάλων αμερικανικών και ευρωπαϊκών λιανοπωλητών για τουλάχιστον ένα έτος.
Με το 2FA, οι διαχειριστές του Magentο θα έχουν ένα επιπλέον επίπεδο ελέγχου ταυτότητας για να μειώσουν την πιθανότητα να πέσουν θύμα των hacker που θέλουν να αποκτήσουν πρόσβαση στους ιστότοπους.
“Ενώ το 2FA στο Magento Admin είναι προαιρετικά διαθέσιμο σε όλες τις υποστηριζόμενες εκδόσεις του Magento Commerce, ξεκινώντας με την κυκλοφορία του 2.4, το 2FA θα ενεργοποιηθεί από προεπιλογή για το Magento Admin και δεν θα μπορεί να απενεργοποιηθεί”, εξηγεί η Adobe.
Οι admin της Magento θα πρέπει να διαμορφώσουν πρώτα το 2FA προτού συνδεθούν στους λογαριασμούς διαχειριστή μέσω του user interface ή ενός web API.
Περισσότερες πληροφορίες σχετικά με τη νέα λειτουργικότητα Magento Admin 2FA που θα κυκλοφορήσει σύντομα μπορείτε να βρείτε στη σελίδα Two-Factor Authentication DevDocs.
Οι διαδικτυακοί έμποροι προτείνεται να κάνουν αναβάθμιση στο Magento 2.x
Ο επεξεργαστής πληρωμών Visa προέτρεψε τους εμπόρους τον Απρίλιο να μεταφέρουν τα ηλεκτρονικά καταστήματά τους στην Magento 2.x πριν η πλατφόρμα Magentο 1.x φτάσει στο τέλος της ζωής της τον Ιούνιο του 2020, για να αποφύγουν την έκθεση των πελατών τους σε επιθέσεις Magecart και να αποτρέψουν την πτώση από τη συμμόρφωση του PCI DSS.
Επειδή δεν θα υπάρξει καμία επιδιόρθωση ασφαλείας από την Adobe για την Magento 1 αφού κλείσει ο κύκλος της ζωής της, “τυχόν ιστότοποι που δεν κατάφεραν να πραγματοποιήσουν την μετεγκατάσταση θα είναι ευάλωτοι σε παραβιάσεις ασφάλειας και θα ενέχουν αυξημένο κίνδυνο για την ασφάλεια των δεδομένων των καρτών πληρωμής”, εξήγησε η Visa.
Το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) εξέδωσε ξεχωριστή προειδοποίηση τον Οκτώβριο του 2019 για να αυξήσει την ευαισθητοποίηση σχετικά με τις απειλές της Magecart που στοχεύουν τόσο τις μικρομεσαίες επιχειρήσεις όσο και τις κυβερνητικές υπηρεσίες που επεξεργάζονται διαδικτυακές πληρωμές.
Το FBI συμβούλεψε επίσης τους ιδιοκτήτες διαδικτυακών καταστημάτων να διατηρούν ενημερωμένο το λογισμικό τους, επισημαίνοντάς το ως ένα από τα βασικά μέτρα μετριασμού κατά των επιθέσεων.
Ο ιστότοπος Web stats BuiltWith δείχνει περισσότερα από 191.000 live Magento installs, εκ των οποίων περίπου 67.000 είναι καταστήματα Magentο 2.x.
Η Adobe είπε τον Σεπτέμβριο του 2018, όταν ανακοίνωσε ότι το Magentο 1 θα φτάσει στο τέλος της ζωής του τον Ιούνιο του 2020, ότι περίπου 8.000 ιστότοποι μεταφέρονταν στο Magentο 2 κάθε τρίμηνο.
 σε ολόκληρη την πλατφόρμα Magento ως απάντηση στον εκτεταμένο αριθμό επιθέσεων...){kind=link}