Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

E-Commerce

Sicherheitsleck: Payone-Plugin gibt Käuferdaten von Shopware-Installationen preis

    Sicherheitsleck: Payone-Plugin gibt Käuferdaten von Shopware-Installationen preis

Schwere Sicherheitslücke in Shopware-Installationen, welche Payone nutzen. (Screenshot: Shopware)

Ein Security-Problem macht es möglich, dass sämtliche Transaktionen, die über das Payone-Plugin einer Shopware-Installation getätigt wurden, derzeit ausgelesen werden können. In diesem Artikel zeigen wir, wie ihr das Problem – zumindest kurzfristig – lösen könnt.

Wir haben heute Nachmittag einen Hinweis erhalten, der auf ein Sicherheitsleck im vorinstallierten Shopware-Plugin des Zahlungsanbieters Payone hinweist. Bei Verwendung des Zahlungsanbieters wird die Payment-Integration im Shopware-System angreifbar. Da das Payment-Plugin von Payone standardmäßig mit der Shopware-Installation zusammen ausgeliefert wird, dürfte dies wohl eines der größten Datenlecks in der Geschichte von Shopware sein.

Payone: Sicherheitslücke in Shopware-Installationen

Schwere Sicherheitslücke in Shopware-Installationen, welche Payone nutzen. (Screenshot: Shopware)
Schwere Sicherheitslücke in Shopware-Installationen, welche Payone nutzen. (Screenshot: Shopware)

Durch das Aufrufen der öffentlichen Payone-API-Logdatei des Shopware-Webshops, werden sämtliche Transaktionsdaten sichtbar. Darunter sind unter anderem Vor- und Nachname, Telefonnummer, die Adresse, E-Mail- und Kreditkartendaten der Käufer.

Update vom 19. Dezember: Anscheinend impliziert dieser Absatz über die freigegebenen Daten zuviel. Bei den von mir erwähnten „sämtlichen Transaktionsdaten“ handelt es sich nicht um „sämtliche Daten des Geldtransfers“. Vielmehr sind darin unter anderem auch Informationen zum gekauften Produkt enthalten. Es werden keine echten Kreditkartennummern ausgelesen, weil es sich in der Tat – wie ich bereits angemerkt habe – um einen Pseudowert („pseudocardpan“) handelt. Dennoch konnte ich einsehen über welche Kreditkartengesellschaft (Mastercard, Visa etc.) abgerechnet wurde.

Bei unseren Tests konnten wir die Käufer-Daten eines großen deutschen Anbieters von Unterhaltungselektronik auslesen. Dabei war es möglich, die Datensätze sämtlicher Transaktionen zurück bis zum Mai 2014 einzusehen. Die selbe Lücke konnte auch bei anderen Webshops reproduziert werden.

Payone: So kannst du deine Shopware-Installation schützen

Auf Nachfrage bei Payone wurde ein Update für das Payone-Plugin (Version 2.3.2) veröffentlicht, das diese Lücke schließen soll. Durch eine einfache Anpassung der .htaccess-Datei könnt ihr das Problem zwar nicht beheben – ihr könnt die Logdatei aber vor nicht autorisiertem Zugriff schützen.

<Files ~ "\.(tpl|yml|ini|log)$">
Deny from all
</Files>

Dieses Snippet unterbindet den Zugriff auf Dateien mit den jeweiligen Endungen: *.tpl, *.yml, *.ini und eben auch *.log. Auf die API-Logdatei kann danach nicht mehr zugegriffen werden. Es ist daher dringend zu empfehlen, die Zugriffe auf die Log-Datei schnellstmöglich mit dem genannten .htaccess-Snippet zu blockieren.

Die Logdatei dient eigentlich dazu, Transaktions-Fehler zu protokollieren. Schon seit 2012 besteht zwischen dem E-Commerce-System Shopware und Payone eine Zusammenarbeit. Eine Logdatei öffentlich und in Plain-Text abzuspeichern, zeugt von schlechtem Programmierstil oder einem fatalen „Flüchtigkeitsfehler“ – einem Fehler, der ein erschreckendes Datenleck erzeugt.

Wir danken der Agentur interaktiv manufaktur für den Hinweis.

Finde einen Job, den du liebst

16 Reaktionen
michael.bussler
michael.bussler

Mir ist nicht ganz klar, diese Lücke betrifft nur Shopware-Installationen, bei denen das Payone-Plugin aktiviert ist und auch aktiv genutzt wird, richtig?

Antworten
Stefan K.
Stefan K.

payone hat mich direkt gestern abend angerufen und auf das Update hingewiesen. War sehr bemüht die Dame.Über die Art der Berichterstattung hier in der t3n ärgere ich als Händler mich jedoch sehr. Ihr habt damit wissentlich alle Händler, die den Artikel nicht gelesen haben einer Gefahr ausgesetzt! Das ist alles andere als in Ordnung und hat sehr viel von Sensatiobsjournalismus. Sowas hätte ich euch bis gestern nicht zugetraut.

Antworten
Jochen G. Fuchs

Hallo Stefan,

wir stehen im direkten Kontakt zu Payone und Shopware und haben sowohl die betroffenen Anbieter, als auch die von uns gefundenen Präzedenzfälle – unmittelbar nach dem uns die Lücke bekannt wurde – vor der Veröffentlichung dieses Artikels kontaktiert.

Als verantwortlicher Redakteur für das Ressort E-Commerce nehme ich solche Sicherheitslücken, die sowohl Händler als auch Kunden betreffen sehr ernst: Der Artikel selbst enthält bewusst keine detaillierten Informationen, die zur Nutzung des Sicherheitslücke führen könnten.

Es ist wichtig, dass betroffene Händler von der Lücke erfahren, um Gegenmaßnahmen zu treffen. Deshalb besteht ein berechtigtes, öffentliches Interesse an dieser Berichterstattung.

Von Sensationsjournalismus kann hier nicht im geringsten die Rede sein.

Was hätten wir denn deiner Meinung nach besser machen können?

Viele Grüße aus der Redaktion,
Jochen Fuchs

Antworten
axel.f
axel.f

ich habe es mir angesehen und tatsächlich werden keine kreditkartendaten geloggt und die werden auch nie an den webserver geschickt wie oben bereits in einem der kommentare erwähnt. dass payone ein log mit benutzerdaten schreibt, halte ich für relativ üblich - was mich schockiert ist, warum das dann um himmels willen world-readable ist. wenn das so im default mitgeliefert wird, sollte man die frage auch mal shopware stellen.

Antworten
Klaus
Klaus

Würde auch sagen, dass es schon ein wichtiges Detail ist, ob nun Kreditkarten-Informationen oder nur verhältnismäßig harmlose Daten wie Namen oder E-Mail-Adressen ausgelesen werden können. Das sollte eventuell noch mal geklärt werden.

Der Bugfix per .htaccess macht auf nginx Server übrigens nicht so viel Sinn.

Antworten
Jochen G. Fuchs

Klartext: Es wurden die vollständigen personenbezogenen Daten unverschlüsselt in einem offen zugänglichen Logfile angezeigt. Vor- und Zunamen, vollständige Anschrift, Telefonnummer und E-Mail-Adresse, Geburtsdatum, die verwendete Kreditkartengesellschaft. Das Logfile lässt darauf schließen, dass gegebenenfalls auch Bankdaten aus dem SEPA-Lastschriftverfahren dort angezeigt werden.

Auch wenn die Kreditkartennummer tokeniziert wird, sind das schutzwürdige Daten, die nicht in fremde Hände gehören.

Antworten
Holger
Holger

Wichtig und das sollte auch wirklich hervorgehoben werden:

Das ist nur ein Problem, wenn man das PAYONE Plugin installiert hat und das auch aktiv einsetzt oder eingesetzt hat!

Ansonsten besteht hier keinerlei Problem in Shopware selbst.

Antworten
Jochen G. Fuchs

Hallo Holger,

die Formulierung „ dass sämtliche Transaktionen, die über das Payone-Plugin einer Shopware-Installation getätigt wurden, derzeit ausgelesen werden können.“ streicht das doch eindeutig heraus?

Viele Grüße aus der Redaktion,
Jochen

Antworten
Michael Greenfield

Ich kann von PAYONE nur abraten. Mit denen zu arbeiten war meine schwerste Fehlentscheidung 2014.

Antworten
punisher
punisher

Auf was denn sonst? Echte Kreditkarten bekommt der Shop ja nicht mit. Die werden doch per Ajax an Payone übertragen, und zwar vom Endkunden, nicht vom Shop.

Antworten
Mario Janschitz

Hallo Punisher!
Nein, ich beziehe mich nicht auf auf den „ pseudocardpan“.
Liebe Grüße

Antworten
Peter
Peter

"Es werden keine echten Kreditkartennummern ausgelesen, weil es sich in der Tat – wie ich bereits angemerkt habe – um einen Pseudowert („pseudocardpan“) handelt."

Du bist bei Deinen Aussagen ja richtig flexibel. Der Zusatz "wie ich bereits angemerkt habe" gefällt mir besonders :-)

Antworten
punisher
punisher

Wen ich es richtig verstanden hab, stehen da nur Referenzdaten, mit denen nur Payone was anfangen kann (siehe Payone Doku). Echte Kreditkarten-Daten stehen in den Logs jedoch nicht. Schade, dass der Autor so was einfach mal behauptet. Fataler Flüchtigkeitsfehler ;)

Antworten
Marcus
Marcus

Na, das ging ja schnell :)
Danke, dir auch.

Antworten
Mario Janschitz

Hallo Marcus, danke für den Hinweis mit „Shopwear" ;)
Dir noch nen schönen Abend.

Antworten
Marcus
Marcus

Hallo,

sehr interessanter Artikel, ist vielleicht doch gar nicht so schlecht gewesen, dass wir nicht zu PayOne gegangen sind! Wir sind bei SagePay und mehr als Zufrieden.

Noch ein kleiner Hinweis: In der Artikel Beschreibung wurde "Shopwear-Installation" geschrieben, dabei müsste es Shopware-Installation heißen.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen