Bestelgegevens duizenden webwinkels via lek in betaalplug-in te achterhalen
Een kwetsbaarheid in een veelgebruikte betaalplug-in maakt het mogelijk om bij meer dan honderdduizend webwinkels de bestelgegevens van klanten op te vragen, waaronder hun e-mailadres, naam en adresgegevens. Twee weken geleden verscheen een update om het probleem te verhelpen, maar een aanzienlijk aantal webshops heeft die nog niet geïnstalleerd.
De webwinkels in kwestie maken gebruik van de WooCommerce Stripe Payment Gateway voor het afhandelen van betalingen. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder de Stripe Payment Gateway. Deze plug-in is zelf door WooCommerce ontwikkeld en draait op meer dan 900.000 webwinkels.
Een unauthenticated Insecure Direct Object Reference (IDOR) kwetsbaarheid in de plug-in maakt het mogelijk voor ongeauthenticeerde gebruikers om elke bestelling van de webshop te bekijken, inclusief de gegevens van klanten, zo ontdekte securitybedrijf Patchstack. IDOR-kwetsbaarheden doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.
Ook de Stripe Payment Gateway blijkt niet goed te controleren of degene die de bestelgegevens opvraagt hiertoe wel bevoegd is. Op 31 mei kwam WooCommerce met versie 7.4.1 van de plug-in, waarin het probleem is verholpen. Die dag werd de nieuwste versie door 580.000 webshops gedownload. Sindsdien volgden er elke dag zo'n tienduizend nieuwe downloads. Dat zou echter inhouden dat minstens 180.000 webshops nog een kwetsbare versie van de plug-in draaien.
te openen. Na een jaar en heel erg weinig chargebacks er zomaar uit gesodemieterd. Wegens fraude. Als nou iemand geen fraude doet dan ben ik het.
Je mag dan met ze mailen en ze beloven binnen 24 uur antwoord. Dat is alweer maanden geleden. Ik heb inmiddels wat beters, maar heb nog wel een flink saldo van ze tegoed. Plus dat ik er behoorlijk wat lopende abbonnementen had. Die dus niet meer verlengd worden.
Als dan ook die plugin nog lek is, wel blij dat ik er weg ben. Privacy van mijn gebruikers staat nog boven geld. Wel veel schade van gehad. Maar goed, we leven nog. Jammer dat daar geen mensen werken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
