Shopware – Die große Paydirekt Sicherheitslücke

Shopware – Die große Paydirekt Sicherheitslücke

sicherheitslücke_paydirekt_ (cateno)

Update unter Vorbehalt: Paydirekt hat in den Kommentaren mitgeteilt, die Sicherheitslücke behoben zu haben. Eine aktuelle Version des Plug-ins steht zum Download bereit.

Das aktuelle Zahlungsplugin von Paydirekt soll erhebliche Sicherheitslücken aufweisen. Wer also in seinem Shopware-Shop die Zahlungsmethode anbietet, setzt sich möglicherweise einem Sicherheitsrisiko aus.

In der Version 1.0.26 von Paydirekt ist es gegenwärtig möglich, den Lagerbestand von Shopware-Shops zu auszuspähen, beziehungsweise zu manipulieren. Die Bestellung von bestimmten oder gar aller Artikel ist dann nicht mehr möglich. Der IT-Sachverständige und Shopware-Experte Patrick Emmler hat die Sicherheitslücke entdeckt. Er sagt, dass eine Ausnutzung dieser Lücke praktisch für jeden ohne großen Aufwand möglich wäre.

Shopware und Paydirekt – Das Problem

Die größte Gefahr ist, dass man den Lagerbestand eines Shops auf null Artikel setzen kann, ohne dass man über einen internen Zugang zum Shopware-Shop verfügt. Sämtliche Bestellvorgänge sind dann nicht mehr möglich. Der ausbleibende Umsatz und der damit entstehende finanzielle Schaden, den Shopbetreiber davontragen können, ist abhängig von der Shopgröße.

Gerade E-Commerce-Händler, die sich eher sporadisch um ihr Backend kümmern oder die Sicherheitslücke zu spät bemerken, haben ein erhöhtes Risiko erhebliche Gewinnverluste verzeichnen zu müssen.

Die Lösung – Paydirekt deaktivieren

Patrick Emmler empfiehlt Shopware-Shop-Betreibern, Paydirekt vorerst zu deaktivieren. Der Masterplan: Auf ein Update warten, das die Sicherheitslücke im besten Fall komplett behebt.

Paydirekt – Beratungsresistenz wird großgeschrieben

Paydirekt will die Meldung Emmlers aktuell nicht annehmen. Er sei kein autorisierter Paydirekt-Händler. Deshalb bearbeite man aus Datenschutzgründen die Meldung zur Sicherheitslücke vorerst nicht. Der Plugin-Entwickler von Paydirekt sagt außerdem: „Die Art und Weise wie der Zahlungsvorgang durchgeführt wird, ist seitens Paydirekt funktionspezifisch so gegeben, dass die Sicherheitslücke in der aktuellen Form vorhanden ist.“ Klingt ja toll dieses Paydirekt-Plugin… Emmler hingegen kann diese Aussage nicht bestätigen. Andere Zahlungsdienste wie Klarna, Paypal oder Sofort funktionieren, wie sie sollten und können für Angriffe solcher Art nicht genutzt werden.

Diese Beiträge könnten Dich auch interessieren:

Die bekanntesten Online-Marktplätze im Vergleich
Informationen zur EU-DSGVO
Warenwirtschaft und Online-Shop: 5 Tipps für erfolgreichen E-Commerce
Gewusst wie: So funktioniert Repricing

 

Wenn Du Interesse an einer vollständigen Lösung für den E-Commerce hast, setze Dich gerne mit uns in Kontakt:





Ich habe die Datenschutzerklärung zur Kenntnis genommen.
Mit Stern (*) gekennzeichnete Felder müssen ausgefüllt werden.