Dávaj si dobrý pozor pri platení cez internet: Cez túto slabinu hackeri kradnú údaje z platobných karty vo veľkom!
Hackeri vo veľkom kradnú údaje z platobných kariet cez plugin, ktorý používa obrovské množstvo internetových obchodov.
Bezpečnostní experti pozorovali novú vlnu hackerských útokov, ktorá sa zameriava na zneužitie prémiového Facebook modulu pre platformu PrestaShop. Táto slabina im dovoľuje získať údaje platobných kariet zákazníkov, informuje Bleeping Computer.
PrestaShop je open-source platforma, pomocou ktorej môžu ľudia a podniky vytvoriť svoj vlastný online obchod. V tomto roku používa platformu PrestaShop približne 300-tisíc online obchodov.
Hackeri vo veľkom kradnú čísla kariet
Vlastníci obchodov môžu siahnuť aj po prídavnom Facebook module pkfacebook. Tento modul umožňuje zákazníkom prihlásiť sa pomocou svojich sociálnych sietí a pridávať komentáre, či četovať so zákazníckou podporou pomocou Messengera. Bezpečnostní analytici ale objavili v tomto module kritickú bezpečnostnú medzeru, ktorú sledujú pod označením CVE-2024-36680.
Ide o slabinu, ktorá hackerom dovoľuje vykonať SQL injekciu pomocou HTTP požiadaviek. Objavili ju 30. marca a nahlásili portálu Promokit.eu, ktorý modul predáva. Portál sa vyjadril, že túto slabinu objavili a opravili už dávno, no analytikom neposkytli žiadne dôkazy.
Bezpečnostní analytici ale publikovali správu, v ktorej stálo, ako túto slabinu zneužiť a zároveň varovali, že práve teraz vidia, ako hackeri slabinu voľne zneužívajú. Správa bola publikovaná minulý týždeň.
Neprehliadni
“Táto slabina sa aktívne zneužíva a hackeri cez ňu používajú systém, ktorý im vo veľkom dovoľuje kradnúť čísla kreditných kariet,” tvrdia bezpečnostní experti.
Majiteľov online obchodov, ktorí používajú modul pkfacebook, varujú, aby si ho aktualizovali na najnovšiu verziu.
Takto sa môžeš jednoducho chrániť pri nákupe online
Ak sa nechceš stať obeťou útoku, odporúčame používať napríklad virtuálnu kartu, ktorú ponúka dnes každá banková aplikácia. Ide o funkciu, ktorá vám vygeneruje nové číslo karty. Toto číslo platí na jeden nákup, alebo len určitú krátku dobu. Ak by sa aj hacker dostal k tomuto číslu karty, žiaden ďalší prevod už cez toto číslo nespraví. Tým si môžeš chrániť svoju peňaženku.
Každá aplikácia má funkciu pomenovanú inak. Ak používaš Tatra Banku, v aplikácii funkciu nájdeš pod názvom Internetová platba. Stačí na túto možnosť kliknúť a v novom okne uvidíš vygenerované čísla karty. Tie zadaj pri platení normálne, ako keby si zadával originálne číslo karty.
Nákup prebehne rovnako, ako pri hociktorej inej metóde platby, no následne sa nemusíš obávať, že by sa hackeri dostali k tvojej karte, ak by tieto čísla unikli na internet. Takáto virtuálna karta zároveň nie je obmedzená počtom možných kariet, ktoré si môžete nechať vygenerovať.
Virtuálna karta ťa vie ochrániť nielen pri tomto útoku. Používať ju môžeš aj pri nákupoch z nových obchodov, ktorým až tak veľmi zatiaľ nedôveruješ.
Útoky cez SQL injekciu sú hackermi vyhľadávané, pretože cez tieto slabiny dokážu získať administrátorské práva, dostať sa k dátam uloženým na stránke alebo ich hocijako modifikovať.
Komentáre