Der Software-Entwickler Brain Logical Software Development hat im Onlineshop-System Magento eine Sicherheitslücke entdeckt, die es ermöglicht, bestehenden Benutzern den Zugriff zum Backend-System temporär zu sperren.
Ermöglicht wird diese Lücke durch eine ungesicherte Funktion des Passwort-Resets, die bei vielen Online-Shops in der Standardinstallation verwendet wird. Kommt ein Hacker dann auch noch an das Emailkonto des Benutzers, das oft als Kontaktadresse im Impressum des Shops erwähnt wird, können sie erfolgreich ein Passwort anfordern.
Shopbetreibern rät Brain Logical Software Development, die Standardinstallation so zu ändern, dass das Backend nicht mehr über die Standard-URL erreichbar ist. Darüber sollten auch E-Mail-Adressen der Backend-User nicht öffentlich publiziert werden.
Erst vor kurzem wurden Betreiber von Shops auf Basis von "OS Commerce" Opfer eines Hackerangriffs.
