image

Bestelgegevens duizenden webwinkels via lek in betaalplug-in te achterhalen

woensdag 14 juni 2023, 14:31 door Redactie, 1 reacties

Een kwetsbaarheid in een veelgebruikte betaalplug-in maakt het mogelijk om bij meer dan honderdduizend webwinkels de bestelgegevens van klanten op te vragen, waaronder hun e-mailadres, naam en adresgegevens. Twee weken geleden verscheen een update om het probleem te verhelpen, maar een aanzienlijk aantal webshops heeft die nog niet geïnstalleerd.

De webwinkels in kwestie maken gebruik van de WooCommerce Stripe Payment Gateway voor het afhandelen van betalingen. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder de Stripe Payment Gateway. Deze plug-in is zelf door WooCommerce ontwikkeld en draait op meer dan 900.000 webwinkels.

Een unauthenticated Insecure Direct Object Reference (IDOR) kwetsbaarheid in de plug-in maakt het mogelijk voor ongeauthenticeerde gebruikers om elke bestelling van de webshop te bekijken, inclusief de gegevens van klanten, zo ontdekte securitybedrijf Patchstack. IDOR-kwetsbaarheden doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

Ook de Stripe Payment Gateway blijkt niet goed te controleren of degene die de bestelgegevens opvraagt hiertoe wel bevoegd is. Op 31 mei kwam WooCommerce met versie 7.4.1 van de plug-in, waarin het probleem is verholpen. Die dag werd de nieuwste versie door 580.000 webshops gedownload. Sindsdien volgden er elke dag zo'n tienduizend nieuwe downloads. Dat zou echter inhouden dat minstens 180.000 webshops nog een kwetsbare versie van de plug-in draaien.

Reacties (1)
14-06-2023, 22:05 door Anoniem
Stripe heb ik ook gehad. Want heel gemakkelijk om meteen een account
te openen. Na een jaar en heel erg weinig chargebacks er zomaar uit gesodemieterd. Wegens fraude. Als nou iemand geen fraude doet dan ben ik het.

Je mag dan met ze mailen en ze beloven binnen 24 uur antwoord. Dat is alweer maanden geleden. Ik heb inmiddels wat beters, maar heb nog wel een flink saldo van ze tegoed. Plus dat ik er behoorlijk wat lopende abbonnementen had. Die dus niet meer verlengd worden.

Als dan ook die plugin nog lek is, wel blij dat ik er weg ben. Privacy van mijn gebruikers staat nog boven geld. Wel veel schade van gehad. Maar goed, we leven nog. Jammer dat daar geen mensen werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.