Adobe, Mastercard, Visa предупреждават собствениците на онлайн магазини за Magento 1.x EOL

Платежните процесори Visa и Mastercard, заедно с Adobe, опитаха последни усилия този месец, за да накарат собствениците на онлайн магазини да актуализират своите платформи.

След три дни, на 30 юни, платформата Magento 1.x трябва да достигне своята официална дата на края на живота (EOL), след което Adobe планира да спре да предлага актуализации за сигурност.

Магазини, които не са актуализирани до най-новия клон 2.x и все още работят с инсталации на Magento 1.x, ще станат силно уязвими за атаки от хакери.

Опасността се счита за висока, тъй като през последните три години хакерите експлоатираха упорито бъгове в Magento, за да пробият съхранява и вмъква код за кражба на разплащателна карта във формуляри за плащане – под формата на атака, известна като уеб скимиране или Magecart.

Mastercard и Visa се включват

По-рано тази седмица платежният процесор Mastercard издаде предупреждение за сигурността на своите клиенти по темата.

В копие от този сигнал, видяно от ZDNet, компанията каза, че нейният екип за компрометиране на данни за сметка на Mastercard (ADC), отговорен за разследване на пробиви в сигурността, засягащи данните на притежателите на карти, установи, че случаите на уеб скимиране се увеличават напоследък години. Повечето от тях са проследени до уебсайтове, работещи с по-стари версии на софтуера на уеб магазина Magento.

Mastercard каза, че 77% от компаниите, разследвани в тези инциденти, не са в съответствие с PCI DSS изискване 6, правилото, което изисква собствениците на магазини да работят с актуални системи.

Сигналът на Mastercard идва, след като Visa изпрати един от своите през април. Точно като Mastercard, Visa предупреди собствениците на магазини да актуализират до най-новия клон, Magento 2.3.x, за да избегнат атаки срещу техните магазини.

Но докато Mastercard възприемаше по-мек тон с клиентите си, Visa беше много пряка в предупреждението си, давайки да се разбере, че ако търговците не успяха да актуализират далеч от клона на Magento 1.x, те в крайна сметка биха изпаднали в съответствие с PCI DSS стандартен.

Загубата на PCI DSS акредитация е катастрофа за онлайн магазините или всяка друга компания, която управлява онлайн картови плащания, тъй като те могат да станат пряко отговорни за щетите, които причиняват на своите клиенти.

Adobe забави Magento 1.x EOL два пъти

Но двата процесора за обработка на плащания не бяха единствените, които предупредиха своите клиенти за Magento 1.x EOL. Както и Adobe, компанията, която сега притежава софтуера Magento и облачния сървър за хостване на магазини Magento.

Adobe, която придоби Magento през май 2018 г., беше повече от любезна и снизходителна към собствениците на магазини Magento 1.x.

Клонът 1.x беше пуснат през 2008 г. и първоначално беше планирано да достигне EOL през ноември 2018 г.

Три години преди това, през 2015 г., екипът на Magento пусна версия 2.0, много необходима актуализация, която беше пълно пренаписване и архитектурен редизайн на предишната и остаряла версия 1.x.

За съжаление общността на собствениците на магазини на Magento не посрещна новата версия 2.x с отворени обятия. Поради големия брой критични промени между двете версии, много собственици на магазини избраха да останат на по-старата версия 1.x и да избягват трябва да внедряват отново своите магазини от нулата и да избягват продължителен престой -- което е доста често срещана практика в webdev общност.

След като Adobe придоби стария екип на Magento, собствениците на магазини поискаха от компанията да отложи EOL на клона 1.x, с което Adobe се съгласи, премествайки официалния EOL обратно на 1 юни 2020 г.

Тъй като пандемията от коронавирус (COVID-19) удари по-рано тази година, Adobe отново любезно забави Magento 1.x EOL, премествайки го от юни 1 до 30 юни, за да дадат на собствениците на магазини повече време да се справят със сривовете в последния момент на техните сайтове и да съобразят графиците за работа от вкъщи.

Но това беше всичко; последното отблъскване EOL.

Тази седмица, на 22 юни, Adobe пусна окончателните актуализации на сигурността за клона на Magento 1.x и каза, че те ще бъдат последните, като помоли собствениците на магазини да актуализират до Magento 2.x.

Почти 110 000 магазина все още работят с Magento 1.x

Но, за съжаление, въпреки че собствениците на магазини знаеха от края на 2018 г., че идва EOL, много от тях не предприеха действия. Около 75% от днешните магазини на Magento все още работят на клон 1.x.

Според фирмата за киберсигурност SanSec, има близо 110 000 магазина, които все още работят с клона 1.x, докато само 37 500 магазина работят с по-новия клон.

След като 1.x достигне EOL следващата сряда, всеки нов експлойт на Magento 1.x ще бъде катастрофа за пазара на онлайн магазини, тъй като няма да има предстояща корекция.

В разговори с експерти от общността за уеб сигурност на този репортер беше казано, че нови уязвимости на Magento 1.x не са забелязвани от известно време. Мнозина вярват, че хакерите седят върху експлойтите си на Magento 1.x и чакат EOL да се появи.

Тъй като атаките за сканиране на мрежата са по-често срещани от всякога, защитните стени са само временно решение и собствениците на магазини ще най-вероятно трябва сериозно да обмислят актуализирането на своите сайтове, въпреки временната повреда и престой, които това има включва.