SessionReaper vulnerability hits Magento and Adobe Commerce stores

А исследователь безопасности обнаружил серьезную уязвимость в программном обеспечении, на котором работают тысячи сайтов электронной коммерции. Платформа под названием Magento и ее платная версия Adobe Commerce имеют ошибку, которая позволяет злоумышленникам проникать в активные сеансы покупок. Некоторые злоумышленники могут даже захватить контроль над всем магазином.

Уязвимость известна как SessionReaper. Это позволяет хакерам притворяться реальными клиентами без необходимости пароля. Оказавшись внутри, они могут украсть данные, сделать поддельные заказы или установить инструменты, собирающие данные кредитных карт.

Подпишитесь на мой БЕСПЛАТНЫЙ отчет CyberGuy
Получайте мои лучшие технические советы, срочные оповещения о безопасности и эксклюзивные предложения прямо на свой почтовый ящик. Кроме того, вы получите мгновенный доступ к моему окончательному руководству по выживанию от мошенничества — бесплатно, если присоединитесь к моему CYBERGUY.COM информационный бюллетень

Почему эта атака настолько серьезна?

Проблема начинается в той части системы, которая отвечает за взаимодействие магазина с другими онлайн-сервисами. Поскольку программное обеспечение не проверяет должным образом получаемую информацию, оно иногда доверяет данным, которым не следует доверять. Хакеры пользуются этим, отправляя поддельные файлы сеансов, которые магазин принимает за настоящие.

Исследователи SecPod предупреждают, что успешные атаки могут привести к краже данных клиентов, фальшивым покупкам и даже полному контролю над сервером магазина.

Как только метод атаки стал достоянием общественности, киберпреступники сразу же начали его использовать. Эксперты по безопасности Sansec сообщили, что за один день было взломано более 250 интернет-магазинов. Это показывает, насколько быстро могут распространяться атаки, когда уязвимость становится общедоступной.

Почему многие магазины до сих пор не защищены?

9 сентября Adobe выпустила обновление безопасности, чтобы решить эту проблему. Спустя несколько недель около 62% пострадавших магазинов все еще не установили его. Некоторые владельцы магазинов опасаются, что обновление может нарушить работу функций их сайта. Другие просто не знают, насколько серьезен риск.

Каждый неисправленный магазин остается открытой дверью для злоумышленников, желающих украсть информацию или установить вредоносный код.

КРУПНЫЕ КОМПАНИИ, В ТОМ ЧИСЛЕ GOOGLE И DIOR, ПОТЕРЯЛИ МАСШТАБНУЮ УТЕЧКУ ДАННЫХ СОТРУДНИКОВ ПРОДАЖ

Как обезопасить себя при совершении покупок в Интернете?

Хотя владельцы магазинов несут ответственность за устранение проблемы, вы все равно можете принять разумные меры, чтобы защитить себя при совершении покупок в Интернете. Эти действия помогут вам заранее обнаружить опасность и обеспечить безопасность вашей личной информации.

1) Ищите предупреждающие знаки

Всегда обращайте внимание на то, как ведет себя веб-сайт. Если страница выглядит странно, загружается медленно или показывает сообщения об ошибках, это может означать, что что-то не так. Проверьте наличие маленького символа замка в адресной строке, который показывает, что сайт использует шифрование HTTPS. Если он отсутствует или сайт перенаправляет вас на незнакомую страницу, немедленно остановитесь и закройте вкладку браузера. Доверьтесь своей интуиции, если что-то не так.

2) Будьте осторожны с ссылки по электронной почте и воспользуйтесь услугой удаления данных

Киберпреступники часто используют поддельные рекламные письма или рекламу, которая выглядит как реальные предложения магазина. Вместо того, чтобы нажимать ссылки в сообщениях или баннерах, введите веб-адрес магазина прямо в браузер, чтобы избежать фишинговых страниц, предназначенных для кражи ваших данных для входа или информации о карте. Поскольку такие атаки, как SessionReaper, могут раскрыть ваши личные данные на криминальных рынках, рассмотрите возможность использования авторитетного служба удаления данных который постоянно сканирует и удаляет вашу личную информацию, такую ​​как ваш адрес, номер телефона и адрес электронной почты, с сайтов брокеров данных. Это снижает риск кражи личных данных в случае утечки вашей информации через взломанный интернет-магазин.

Хотя ни одна служба не может гарантировать полное удаление ваших данных из Интернета, услуга удаления данных — действительно разумный выбор. Они недешевы, как и ваша конфиденциальность. Эти службы делают всю работу за вас, активно отслеживая и систематически удаляя вашу личную информацию с сотен веб-сайтов. Это то, что дает мне душевное спокойствие и оказалось наиболее эффективным способом стереть ваши личные данные из Интернета. Ограничивая доступную информацию, вы снижаете риск того, что мошенники будут ссылаться на данные об утечках с информацией, которую они могут найти в темной сети, что усложнит им задачу нацеливания на вас.

Ознакомьтесь с моими лучшими услугами по удалению данных и получите бесплатное сканирование, чтобы узнать, опубликована ли уже ваша личная информация в Интернете, посетив Cyberguy.com

Получите бесплатное сканирование, чтобы узнать, опубликована ли уже ваша личная информация в Интернете: Cyberguy.com

3) Используйте мощное антивирусное программное обеспечение

Надежная антивирусная защита — ваш тихий страж в Интернете. Выбирайте надежное программное обеспечение, которое обеспечивает защиту в режиме реального времени, оповещения о безопасном просмотре и автоматические обновления. Мощная антивирусная программа может обнаружить вредоносный код, который пытается запуститься на вашем устройстве, заблокировать небезопасные сайты и предупредить вас о потенциальных угрозах. Это добавляет еще один важный уровень защиты при посещении интернет-магазинов, которые могут быть не полностью безопасными.

Лучший способ защитить себя от вредоносных ссылок, которые устанавливают вредоносное ПО и потенциально получают доступ к вашей личной информации, — это установить на все ваши устройства мощное антивирусное программное обеспечение. Эта защита также может предупреждать вас о фишинговых электронных письмах и программах-вымогателях, сохраняя вашу личную информацию и цифровые активы в безопасности.

Получите мой выбор лучших победителей антивирусной защиты 2025 года для ваших устройств Windows, Mac, Android и iOS на сайте Cyberguy.com

4) Используйте безопасные способы оплаты.

По возможности выбирайте платежные услуги это добавляет дополнительный уровень защиты между вашим банковским счетом и интернет-магазином. Такие платформы, как PayPal, Apple Pay или Google Pay, не передают номер вашей карты продавцу. Это снижает вероятность кражи вашей информации в случае взлома магазина. Эти платежные шлюзы также предлагают защиту от споров, если покупка окажется мошеннической.

5) Делайте покупки у проверенных продавцов.

Выбирайте магазины с хорошей репутацией. Известные бренды обычно имеют более высокий уровень безопасности и более быстрое реагирование в случае возникновения проблем. Прежде чем покупать на новом веб-сайте, проверьте его отзывы на проверенных потребительских сайтах. Ищите признаки доверия, такие как четкая контактная информация, профессиональный дизайн и проверенные способы оплаты. Несколько минут исследования могут спасти вас от недель разочарования.

TRANSUNION СТАНОВИТСЯ ПОСЛЕДНЕЙ ЖЕРТВОЙ БОЛЬШОЙ ВОЛНЫ КИБЕРАТАКИ, СВЯЗАННОЙ С ПРОДАЖАМИ, ЗАТРУДНЕНЫ 4,4 МЛН АМЕРИКАНЦЕВ

6) Постоянно обновляйте свои устройства

Обновления могут показаться раздражающими, но они являются одним из наиболее эффективных способов защиты ваших данных. Убедитесь, что на вашем компьютере, смартфоне и веб-браузере установлены последние обновления безопасности. Обновления часто исправляют именно те недостатки, которые хакеры используют для распространения таких атак, как SessionReaper. Если можете, включите автоматические обновления, чтобы ваши устройства оставались защищенными без дополнительных усилий.

7) Используйте уникальные, надежные пароли

Если вы создаете учетные записи на торговых сайтах, убедитесь, что у каждого из них есть свой надежный пароль. Избегайте использования одного и того же пароля на нескольких платформах. Рассмотрите возможность использования менеджера паролей для создания и хранения длинных случайных паролей. Таким образом, если одна учетная запись будет взломана, остальные ваши логины останутся в безопасности.

Затем проверьте, не была ли ваша электронная почта раскрыта в результате прошлых взломов. Наш менеджер паролей №1 (см. Cyberguy.com) Pick включает в себя встроенный сканер нарушений, который проверяет, фигурировали ли ваш адрес электронной почты или пароли в известных утечках. Если вы обнаружите совпадение, немедленно измените все повторно используемые пароли и защитите эти учетные записи новыми уникальными учетными данными.

Ознакомьтесь с лучшими менеджерами паролей 2025 года, проверенными экспертами, на сайте Cyberguy.com

8) Включите двухфакторная аутентификация

Если сайт или платежный сервис предлагает двухфакторную аутентификацию, включите ее. Это добавляет второй этап безопасности, например код, отправленный на ваш телефон или сгенерированный приложением. Даже если хакеры украдут ваш пароль, они не смогут получить доступ к вашей учетной записи без второй проверки.

9) Избегайте общедоступных Wi-Fi для покупок.

Утечка данных о страховании фермеров подвергает опасности 1,1 млн американцев

Общественный Wi-Fi Сети в таких местах, как кафе, аэропорты и отели, часто остаются незащищенными. Избегайте ввода платежной информации или входа в учетные записи при подключении к общедоступным сетям. Если вам необходимо совершить покупку, находясь вдали от дома, используйте мобильное соединение для передачи данных или надежный VPN для шифрования своих действий.

10) Контролируйте свои банковские и кредитные выписки.

Регулярно проверяйте свою финансовую отчетность на предмет необычной деятельности. Небольшие несанкционированные платежи могут быть ранними признаками мошенничества. Немедленно сообщайте о любых подозрительных транзакциях в свой банк или компанию-эмитент кредитной карты, чтобы они могли заморозить ваш счет или выпустить новую карту.

11) Сообщайте о подозрительной активности

Если вы заметили что-то странное во время или после онлайн-покупки, действуйте быстро. Свяжитесь со службой поддержки клиентов магазина и сообщите об увиденном. Вам также следует сообщить об этом своему поставщику платежных услуг или компании-эмитенту кредитной карты, чтобы они могли заблокировать несанкционированные транзакции. Раннее сообщение может помочь предотвратить дальнейший ущерб и предупредить других покупателей о потенциальных рисках.

Ключевые выводы Курта

Атака SessionReaper показывает, насколько быстро могут появляться онлайн-угрозы и как долго они могут сохраняться, если обновления игнорируются. Даже известные магазины могут в одночасье стать небезопасными. Для розничных торговцев быстрая установка исправлений имеет решающее значение. Для покупателей сохранение бдительности и выбор безопасных способов оплаты — лучший способ оставаться защищенным.

НАЖМИТЕ ЗДЕСЬ, ЧТОБЫ ЗАГРУЗИТЬ ПРИЛОЖЕНИЕ FOX NEWS

Вы бы продолжали делать покупки в Интернете, если бы знали, что хакеры могут прятаться за страницей оформления заказа в магазине? Дайте нам знать, написав нам по адресу Cyberguy.com

Подпишитесь на мой БЕСПЛАТНЫЙ отчет CyberGuy
Получайте мои лучшие технические советы, срочные оповещения о безопасности и эксклюзивные предложения прямо на свой почтовый ящик. Кроме того, вы получите мгновенный доступ к моему окончательному руководству по выживанию от мошенничества — бесплатно, если присоединитесь к моему CYBERGUY.COM информационный бюллетень

Авторские права CyberGuy.com, 2025 г. Все права защищены.