Individuelle Webentwicklung

Nicht immer ist eine Standardsoftware ausreichend um individuelle Anforderungen gerecht zu werden, wir schaffen Lösungen

Informationen
Bild: Individuelle Webentwicklung
payone-595x325

Shopware: Payone-Plugin Sicherheißtsleck

Bei dem Aufrufen der öffentlichen Payone-API-Logdatei des Shopware-Webshops werden alle Transaktionsdaten sichtbar für jedermann. Dass sind unter anderem Vor- und Nachnahme, Adresse, Telefonnummer, Faxnummer, E-Mail- und Kreditkartendaten der Käufer.

Die Käuferdaten eines großen deutschen Anbieters von Unterhaltungselektronik wurden bei einem Test ausgelesen. In dem Moment war es möglich sämtliche Transaktionen bis zum Mai 2014 einzusehen. Bei anderen Webshops konnte eine solche Lücke auch festgestellt werden.

Payone: Auf diese Weise kannst du deine Shopware-Installation schützen

Bei Payone wurde auf Nachfrage ein Update für das Payone-Plugin (Version 2.3.2.) veröffentlicht. Dieses Update soll die Lücke schließen. Mit einer einfachen Anpassung der .htaccess-Datei könnt ihr das Problem leicht beheben allerdings könnt ihr die Logdatei nicht vor autorisiertem Zugriff schützen.

<Files ~ "\.(tpl|yml|ini|log)$">
Deny from all
</Files>

Dieser Codeschnippsel unterbindet den Zugriff auf die Dateien der jeweiligen Endungen: *.tpl, *.yml, *.ini und eben auch *.log. Nun kann auf die API-Logdatei nicht mehr zugegriffen werden. Es ist empfehlenswert die Zugriffe auf die Log-Datei schnellsmöglichst mit dem genannten .htaccess-Codeschnippsel zu blockieren.
Die Logdatei ist eigentlich gedacht Transaktions-Fehler zu protokollieren. Seit dem Jahr 2012 besteht zwischen Payone und dem E-Commerce-System-Shopware eine Zusammenarbeit. Eine Logdatei öffentlich und in Plain-Text abzuspeichern ist eine fataler Fehler und ein erschreckendes Datenleck.

Update:

Laut t3n ist diese Sicherheitslücke doch nicht so groß. Bei den erwähnten Transaktionsdaten
handelte es sich nicht um sämtliche Daten des Geldtransfers. Es sind Informationen zu den gekauften Artikel. Es sind keine echten Kreditkartennummer, es handelt sich um eine Pseudowert (pseudocardpan). Demnach konnte man sehen über welche Kreditkartengesellschaft (Visa, Mastercard usw.) gezahlt wurde.