11.9.2020 Aloitettiin tuetta jääneiden Magento-versioiden laajamittainen hakkerointi. Viikonlopun aikana hyökättiin noin 2000 Magento 1.X -pohjaista verkkokauppaa vastaan ja hyökkäykset näyttäisivät jatkuvan edelleen. Adobe ei tue enää vanhoja Magento-versioita, joten paikkausta hyökkäykseen ei ole luvassa. North Patrol ja Ohjelmisto- ja e-bisness ry varoittivat tulevista hyökkäyksistä viime kesänä.
North Patrol on suunnitteluun erikoistunut konsulttitoimisto. Suunnittelemme, autamme teknologiavalinnoissa, kilpailutamme. Emme myy toteutusprojekteja, emmekä lisenssejä, olemme aidosti asiakkaan puolella.
Hakkerointiin tarkoitettua koodia myydään verkossa 5000 dollarin hintaan. Diilistä on tehty erityisen houkutteleva. Koodia luvataan myydä vain kymmenelle ensimmäiselle ostajalle. Varmana voidaan pitää, että vastaavia diilejä tulee tarjolle tulevaisuudessakin.
Maksuvälinetietojen kaappaus
Tämä hyökkäys ei ole erityisen vaarallinen suomalaisille verkkokaupoille. Se pyrkii kaappaamaan maksuvälinetiedot verkkokaupasta niiden syöttämisen yhteydessä. Suomalaisten maksupalveluvälittäjien toimintatapa poikkeaa tästä prosessista yleensä siten, että maksuvälinetieto syötetään vain maksupalveluvälittäjän järjestelmään eikä itse verkkokauppaan. Voidaanko siis huokaista helpotuksesta? Ei voida! Kyse on ensimmäisestä laajamittaisesta hyökkäysaallosta, mutta ei taatusti viimeisestä. Kyseessä on lisäksi todennäköisesti uudenlainen hyökkäysmetodi, sillä haavoittuneiden verkkokauppojen joukossa oli paljon sellaisia, jotka eivät aiemmilta listoilta löydy.
Miten ahkerasti Magento 1.X -versiota on vaihdettu?
Tarkastimme viime kesänä julkaisemamme verkkokauppaselvityksen Magento 1.X -verkkokauppojen tilanteen. Paria WordPressiin siirtynyttä ja yhtä kokonaan lopettanutta kauppaa lukuun ottamatta tilanne ei ole muuttunut. Lukuisat kauppiaat jatkavat itsepintaisesti Magento 1.X -alustan käyttöä liiketoiminnassaan. Adobe on poistanut sivustoltaan myös aiemmin tälle alustalle julkaistut päivitykset. Osa kauppiaista ei ole asentanut edes kaikkia niitä. Tämän perusteella voidaan odottaa ongelmien rantautuvan Suomeenkin pian.
Mitä sitten voisi olla odotettavissa? Maksutapahtuman yhteyteen läheisesti nivoutuu toimitusosoitteen syöttäminen. Myös suomalaisissa verkkokaupoissa se tallennetaan itse verkkokauppajärjestelmään. Väärentämällä toimitusosoitteen voi vihamielinen taho saada tilatut tavarat itselleen. Tämä ei tietysti ole lainkaan niin houkutteleva malli rikollisen kannalta kuin luottokorttitietojen anastaminen, mutta sekä asiakkaan että kauppiaan kannalta todella ikävä. Palautuksiin ja hyvityksiin liittyy myös iso riski, jota kannattaa omissa järjestelmissä tarkastella kriittisesti. Täydellistä listaa riskeistä on mahdotonta tehdä. Aika näyttää, mitä tuleman pitää.
Neuvoja Magento 1.X -alustaa käyttäville kauppiaille
Nykyinen kissa-ja-hiiri-leikki päätyy vain yhdellä tavalla. Kuinka kauan sen päättymiseen menee, sitä voidaan vain arvuutella. Vastapuolella panoksena on ajankäyttö ja viitseliäisyys, Magento-käyttäjien puollella panoksena on verkkoliiketoiminnan uskottavuus ja jatkuminen. Siksi ainoa yhteinen neuvo kaikille Magento 1.X -versiota käyttäville kauppialle on, että vaihtakaa alustaa.
Vaikka ilmassa onkin aihetta paniikille, vailla suunnitelmaa ei kuitenkaan kannata lähteä toimimaan. Ensimmäiseksi pitää miettiä miten toimitaan siirtymän aikana ilmenevien uusien riskien kanssa. Varsinaista suunnitelmaa tehdessä kannattaa kartoittaa nykyisen järjestelmän hyvät ja huonot puolet sekä liiketoiminnan asettamat vaatimukset nykytilassa sekä tulevaisuudessa. Kokonaisarkkitehtuuria on syytä pohtia. Lisäksi pitää pohtia hankkeeseen käytettävää budjettia ja valita tuleva järjestelmä. Näiden vaiheiden jälkeen voidaan helposti luoda aikataulu siirtymää varten ja kilpailuttaa toimittajat.
