Momenteel is er een lek gevonden in de Magento ecommerce software welke door vele webshops gebruikt worden. Door de lek is toegang tot klantgegevens en beheerrechten mogelijk. Hierdoor kunnen kwaadwillende zelf de prijzen aanpassen, of waardebonnen uit printen.
MagentoGO is tegenwoordig eigendom van eBay, momenteel wordt Magento gebruikt voor zo’n 200.000 webwinkels wereldwijd. Door het manipuleren van de HOST header is het voor de aanvaller mogelijk om met zijn eigen admin account rechten te krijgen bij elk willekeurig webwinkel domein. Hierdoor heeft hij toegang tot klantgegevens, en kan hij prijzen en waardebonnen veranderen/ aanmaken.
Ebay heeft inmiddels laten weten dat de problemen inmiddels zijn verholpen met de webshops, waardoor kwaadwillende niet meer via de HOST header kunnen inloggen op de website van de webwinkel. De bug is ontdekt door de onderzoekers van Securatary.
