Duizenden webshops door kritiek lek in WooCommerce Payments over te nemen

[Black Tiger]

uizenden webwinkels zijn door een kritieke kwetsbaarheid in WooCommerce Payments over te nemen. De ontwikkelaar heeft inmiddels een beveiligingsupdate uitgebracht, die bij webshops gehost via WordPress.com automatisch wordt geïnstalleerd. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd.

Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder WooCommerce Payments. Deze plug-in maakt het mogelijk om verschillende soorten betalingen in webwinkels te faciliteren. Meer dan vijfhonderdduizend webshops maken er gebruik van. Een kritieke kwetsbaarheid in versie 5.6.1 en eerder maakt het mogelijk voor een ongeauthenticeerde aanvaller om volledige toegang tot het beheerdersaccount te krijgen en zo de website over te nemen. Dat meldt securitybedrijf Wordfence.

@bron: security.nl

 

[Peer]

Die datalekken worden naar mijn idee een steeds groter probleem. Op de meeste webshops reken ik af als gast, dus zonder een account aan te maken.

 

[Black Tiger]

Tja en dan denk je dat je iets goed doet. En vervolgens ligt je telefoonnummer en je mail adres (en misschien meer?) op straat, tenminste als je klant van CZ of Ziggo bent.
Omdat die het nodig vonden allerlei gegevens door te geven aan een onderzoeksbureau voor klanttevredenheids onderzoek.
Ik vraag me af waarom dan ook telefoonnummers doorgegeven moeten worden, een mail adres is genoeg.

 

[sat-ed]

Ik vraag me af waarom dan ook telefoonnummers doorgegeven moeten worden, een mail adres is genoeg.

heb een jaar of 2 terug een discussie gehad met Autoriteit persoons gegevens.
bij aanschaf bepaald merk gereedschap (duur spul) kon je een extra accu (rond de €80,-)krijgen bij registratie.
alleen wat (mij dan weer opviel) was die site geen https en dus gingen je gegevens onversleuteld het web over.
vond autoriteit persoons gegevens niet echt een probleem....
dus heb hun uitgelegd waarom er zoveel bedrijfs busjes werden open en leeg gehaald..
omdat ze geen ENKEL benul hebben wat dat soort gereedschap waard is!
ow leuk een extra accu ff je gegevens achterlaten en je type gereedschap en binnen een maand is je auto opengebroken (want het adres voor de accu moet natuurlijk bekend zijn) en je net nieuwe spullen zijn weg..

 

[Black Tiger]

vond autoriteit persoons gegevens niet echt een probleem....

Ik kan me hier iets bij voorstellen. Het is niet eenvoudig om dat verkeer te monitoren. Dan moet er al aan een kant wifi zijn en toevallig iemand in die buurt er tussen hangen en weten hoe hij dat verkeer moet hacken. Of op een nog wat lastigere wijze.
Maar het is wel mooi meegenomen als dat inderdaad ook versleuteld wordt, verkleind het risico. Zeker mee eens.

Veel belangrijker is de beveiliging van het achterliggende gedeelte, daar waar de gegevens dus opgeslagen worden en verwerkt worden bijvoorbeeld. Het is bekend dat zelfs medewerkers die gegevens gewoon verder verkopen. En ook dat achterliggende systemen soms slecht beveiligd zijn.
Dat is veel eenvoudiger dan tussen een tussen 2 systemen gemaakte verbinding te gaan hangen.

Dus ik begrijp het wel, maar vind dat een organisatie als de AP daar strenger mee moet zijn.
Helaas is er dacht ik nog geen wettelijke verplichting om bepaalde gegevens via ssl te ontvangen/versturen.

 

[Peer]

Omdat die het nodig vonden allerlei gegevens door te geven aan een onderzoeksbureau voor klanttevredenheids onderzoek.

Ik vraag mij nu af of dat wel wettelijk is toegestaan. Volgens mij mag een bedrijf geen NAW gegevens (en overige privacy gevoelige zaken) delen zonder toestemming. Of zijn ze ingedekt door de kleine lettertjes in het contract?

 

[the matrix]

Deze week al 3 x een telefoontje op iphone gekregen vanuit het buitenland.. Niet opgenomen Gelijk maar geblokkeerd.

Hoop niet dat deze blijven komen onder andere nummers.

 

[Black Tiger]

Of zijn ze ingedekt door de kleine lettertjes in het contract?

Goede vraag, vermoedelijk wel. Ben heel benieuwd hoe dat gaat aflopen.
Anders zien een aantal mensen (waaronder ondergetekende) zichzelf wel weer terug in een class action rechtszaak tegen dat bureau en misschien andere bedrijven, door stichting ICAM of zo.
Zou me niet verbazen als die er ook al weer naar zitten te kijken.

 

[mimisiku]

Mensen beseffen niet dat ‘hacken’ een 24/7 industrie is die óók nog eens geautomatiseerd is. ‘Bekende’ gegevens worden doorverkocht in die scene. Je wordt niet benaderd door één, maar meteen meerde ‘sites’. Of het nu gaat om phinshing pogingen of malware of spam. Het geschiedt helemaal automatisch.
Heb Ziggo en Canal Digitaal ooit gevraagd waarom ik direct een tevredenheids verzoek kreeg nadat ik online vraag gesteld had. Ik betaal(de) voor hun diensten en verwacht daar een bijbehorende service voor terug. Een veer in je eigen r**t steken lijkt me totaal onnodig. Totaal nutteloze actie,uitsluitend bedoeld om hun online systeem van ‘*‘ te voorzien… En zie daar… Dat zelfde systeem blijkt nu gehackt.. Proficiat….
Ik plaats nooit ‘reviews’ en bestel als ‘gast’. Gaat dit niet, dan gewoon naar een andere webshop.

 

[Dr.Z]

Deze week al 3 x een telefoontje op iphone gekregen vanuit het buitenland..

Toevallig uit Nieuw-Caledonië?

 

[the matrix]

Alexandroupolie
Kyprinos
Duitsland

 

[Peer]

Alexandroupolie
Kyprinos
Duitsland

Jij word gewoon internationaal gezocht

 

[Dr.Z]

Nummers in elk geval direct blokkeren.. Mijn mailadres waar op oa dit forum wordt ingelogd, schijnt ergens dus bekend te zijn.
Kan ik ergens een schadeclaim indienen?

 

[Peer]

Kan ik ergens een schadeclaim indienen?

Indienen kan altijd