t3n News E-Commerce

Sicherheitsleck: Payone-Plugin gibt Käuferdaten von Shopware-Installationen preis

Sicherheitsleck: Payone-Plugin gibt Käuferdaten von Shopware-Installationen preis

Ein Security-Problem macht es möglich, dass sämtliche Transaktionen, die über das Payone-Plugin einer Shopware-Installation getätigt wurden, derzeit ausgelesen werden können. In diesem Artikel zeigen wir, wie ihr das Problem – zumindest kurzfristig – lösen könnt.

Sicherheitsleck: Payone-Plugin gibt Käuferdaten von Shopware-Installationen preis

Schwere Sicherheitslücke in Shopware-Installationen, welche Payone nutzen…

Wir haben heute Nachmittag einen Hinweis erhalten, der auf ein Sicherheitsleck im vorinstallierten Shopware-Plugin des Zahlungsanbieters Payone hinweist. Bei Verwendung des Zahlungsanbieters wird die Payment-Integration im Shopware-System angreifbar. Da das Payment-Plugin von Payone standardmäßig mit der Shopware-Installation zusammen ausgeliefert wird, dürfte dies wohl eines der größten Datenlecks in der Geschichte von sein.

Payone: Sicherheitslücke in Shopware-Installationen

Schwere Sicherheitslücke in Shopware-Installationen, welche Payone nutzen. (Screenshot: Shopware)
Schwere Sicherheitslücke in Shopware-Installationen, welche Payone nutzen. (Screenshot: Shopware)

Durch das Aufrufen der öffentlichen Payone-API-Logdatei des Shopware-Webshops, werden sämtliche Transaktionsdaten sichtbar. Darunter sind unter anderem Vor- und Nachname, Telefonnummer, die Adresse, E-Mail- und Kreditkartendaten der Käufer.

Update vom 19. Dezember: Anscheinend impliziert dieser Absatz über die freigegebenen Daten zuviel. Bei den von mir erwähnten „sämtlichen Transaktionsdaten“ handelt es sich nicht um „sämtliche Daten des Geldtransfers“. Vielmehr sind darin unter anderem auch Informationen zum gekauften Produkt enthalten. Es werden keine echten Kreditkartennummern ausgelesen, weil es sich in der Tat – wie ich bereits angemerkt habe – um einen Pseudowert („pseudocardpan“) handelt. Dennoch konnte ich einsehen über welche Kreditkartengesellschaft (Mastercard, Visa etc.) abgerechnet wurde.

Bei unseren Tests konnten wir die Käufer-Daten eines großen deutschen Anbieters von Unterhaltungselektronik auslesen. Dabei war es möglich, die Datensätze sämtlicher Transaktionen zurück bis zum Mai 2014 einzusehen. Die selbe Lücke konnte auch bei anderen Webshops reproduziert werden.

Payone: So kannst du deine Shopware-Installation schützen

Auf Nachfrage bei Payone wurde ein Update für das Payone-Plugin (Version 2.3.2) veröffentlicht, das diese Lücke schließen soll. Durch eine einfache Anpassung der .htaccess-Datei könnt ihr das Problem zwar nicht beheben – ihr könnt die Logdatei aber vor nicht autorisiertem Zugriff schützen.

<Files ~ "\.(tpl|yml|ini|log)$">
Deny from all
</Files>

Dieses Snippet unterbindet den Zugriff auf Dateien mit den jeweiligen Endungen: *.tpl, *.yml, *.ini und eben auch *.log. Auf die API-Logdatei kann danach nicht mehr zugegriffen werden. Es ist daher dringend zu empfehlen, die Zugriffe auf die Log-Datei schnellstmöglich mit dem genannten .htaccess-Snippet zu blockieren.

Die Logdatei dient eigentlich dazu, Transaktions-Fehler zu protokollieren. Schon seit 2012 besteht zwischen dem E-Commerce-System Shopware und Payone eine Zusammenarbeit. Eine Logdatei öffentlich und in Plain-Text abzuspeichern, zeugt von schlechtem Programmierstil oder einem fatalen „Flüchtigkeitsfehler“ – einem Fehler, der ein erschreckendes Datenleck erzeugt.

Wir danken der Agentur interaktiv manufaktur für den Hinweis.

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
16 Antworten
  1. von Marcus am 18.12.2014 (17:43 Uhr)

    Hallo,

    sehr interessanter Artikel, ist vielleicht doch gar nicht so schlecht gewesen, dass wir nicht zu PayOne gegangen sind! Wir sind bei SagePay und mehr als Zufrieden.

    Noch ein kleiner Hinweis: In der Artikel Beschreibung wurde "Shopwear-Installation" geschrieben, dabei müsste es Shopware-Installation heißen.

    Antworten Teilen
  2. von Mario Janschitz am 18.12.2014 (17:49 Uhr)

    Hallo Marcus, danke für den Hinweis mit „Shopwear" ;)
    Dir noch nen schönen Abend.

    Antworten Teilen
  3. von Marcus am 18.12.2014 (17:52 Uhr)

    Na, das ging ja schnell :)
    Danke, dir auch.

    Antworten Teilen
  4. von punisher am 18.12.2014 (18:00 Uhr)

    Wen ich es richtig verstanden hab, stehen da nur Referenzdaten, mit denen nur Payone was anfangen kann (siehe Payone Doku). Echte Kreditkarten-Daten stehen in den Logs jedoch nicht. Schade, dass der Autor so was einfach mal behauptet. Fataler Flüchtigkeitsfehler ;)

    Antworten Teilen
  5. von Mario Janschitz am 18.12.2014 (18:07 Uhr)

    Hallo Punisher!
    Nein, ich beziehe mich nicht auf auf den „ pseudocardpan“.
    Liebe Grüße

    Antworten Teilen
    • von Peter am 19.12.2014 (11:05 Uhr)

      "Es werden keine echten Kreditkartennummern ausgelesen, weil es sich in der Tat – wie ich bereits angemerkt habe – um einen Pseudowert („pseudocardpan“) handelt."

      Du bist bei Deinen Aussagen ja richtig flexibel. Der Zusatz "wie ich bereits angemerkt habe" gefällt mir besonders :-)

      Antworten Teilen
  6. von punisher am 18.12.2014 (18:13 Uhr)

    Auf was denn sonst? Echte Kreditkarten bekommt der Shop ja nicht mit. Die werden doch per Ajax an Payone übertragen, und zwar vom Endkunden, nicht vom Shop.

    Antworten Teilen
  7. von Michael Greenfield am 18.12.2014 (19:38 Uhr)

    Ich kann von PAYONE nur abraten. Mit denen zu arbeiten war meine schwerste Fehlentscheidung 2014.

    Antworten Teilen
  8. von Holger am 18.12.2014 (19:43 Uhr)

    Wichtig und das sollte auch wirklich hervorgehoben werden:

    Das ist nur ein Problem, wenn man das PAYONE Plugin installiert hat und das auch aktiv einsetzt oder eingesetzt hat!

    Ansonsten besteht hier keinerlei Problem in Shopware selbst.

    Antworten Teilen
    • von Jochen G. Fuchs am 19.12.2014 (09:27 Uhr)

      Hallo Holger,

      die Formulierung „ dass sämtliche Transaktionen, die über das Payone-Plugin einer Shopware-Installation getätigt wurden, derzeit ausgelesen werden können.“ streicht das doch eindeutig heraus?

      Viele Grüße aus der Redaktion,
      Jochen

      Antworten Teilen
  9. von Klaus am 18.12.2014 (20:18 Uhr)

    Würde auch sagen, dass es schon ein wichtiges Detail ist, ob nun Kreditkarten-Informationen oder nur verhältnismäßig harmlose Daten wie Namen oder E-Mail-Adressen ausgelesen werden können. Das sollte eventuell noch mal geklärt werden.

    Der Bugfix per .htaccess macht auf nginx Server übrigens nicht so viel Sinn.

    Antworten Teilen
    • von Jochen G. Fuchs am 19.12.2014 (16:52 Uhr)

      Klartext: Es wurden die vollständigen personenbezogenen Daten unverschlüsselt in einem offen zugänglichen Logfile angezeigt. Vor- und Zunamen, vollständige Anschrift, Telefonnummer und E-Mail-Adresse, Geburtsdatum, die verwendete Kreditkartengesellschaft. Das Logfile lässt darauf schließen, dass gegebenenfalls auch Bankdaten aus dem SEPA-Lastschriftverfahren dort angezeigt werden.

      Auch wenn die Kreditkartennummer tokeniziert wird, sind das schutzwürdige Daten, die nicht in fremde Hände gehören.

      Antworten Teilen
  10. von axel.f am 19.12.2014 (07:24 Uhr)

    ich habe es mir angesehen und tatsächlich werden keine kreditkartendaten geloggt und die werden auch nie an den webserver geschickt wie oben bereits in einem der kommentare erwähnt. dass payone ein log mit benutzerdaten schreibt, halte ich für relativ üblich - was mich schockiert ist, warum das dann um himmels willen world-readable ist. wenn das so im default mitgeliefert wird, sollte man die frage auch mal shopware stellen.

    Antworten Teilen
  11. von Stefan K. am 19.12.2014 (12:21 Uhr)

    payone hat mich direkt gestern abend angerufen und auf das Update hingewiesen. War sehr bemüht die Dame.Über die Art der Berichterstattung hier in der t3n ärgere ich als Händler mich jedoch sehr. Ihr habt damit wissentlich alle Händler, die den Artikel nicht gelesen haben einer Gefahr ausgesetzt! Das ist alles andere als in Ordnung und hat sehr viel von Sensatiobsjournalismus. Sowas hätte ich euch bis gestern nicht zugetraut.

    Antworten Teilen
    • von Jochen G. Fuchs am 19.12.2014 (12:54 Uhr)

      Hallo Stefan,

      wir stehen im direkten Kontakt zu Payone und Shopware und haben sowohl die betroffenen Anbieter, als auch die von uns gefundenen Präzedenzfälle – unmittelbar nach dem uns die Lücke bekannt wurde – vor der Veröffentlichung dieses Artikels kontaktiert.

      Als verantwortlicher Redakteur für das Ressort E-Commerce nehme ich solche Sicherheitslücken, die sowohl Händler als auch Kunden betreffen sehr ernst: Der Artikel selbst enthält bewusst keine detaillierten Informationen, die zur Nutzung des Sicherheitslücke führen könnten.

      Es ist wichtig, dass betroffene Händler von der Lücke erfahren, um Gegenmaßnahmen zu treffen. Deshalb besteht ein berechtigtes, öffentliches Interesse an dieser Berichterstattung.

      Von Sensationsjournalismus kann hier nicht im geringsten die Rede sein.

      Was hätten wir denn deiner Meinung nach besser machen können?

      Viele Grüße aus der Redaktion,
      Jochen Fuchs

      Antworten Teilen
  12. von michael.bussler am 05.02.2015 (16:17 Uhr)

    Mir ist nicht ganz klar, diese Lücke betrifft nur Shopware-Installationen, bei denen das Payone-Plugin aktiviert ist und auch aktiv genutzt wird, richtig?

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Shopware
Shopware-Community-Day: Die interessantesten Neuerungen und Vorträge in der Übersicht
Shopware-Community-Day: Die interessantesten Neuerungen und Vorträge in der Übersicht

Der Shopware-Community-Day im Überblick: alle Neuerungen des Shopware-Universums vom neuen Shopware ERP bis zur Dropshipping-Middleware Shopware Connect und eine Zusammenfassung interessanter Vortr … » weiterlesen

Shopware 5.2: Das kann die kostenfrei integrierte Warenwirtschaft Pickware
Shopware 5.2: Das kann die kostenfrei integrierte Warenwirtschaft Pickware

Shopware spendiert seinem Shopsystem in Kooperation mit Pickware eine integrierte Warenwirtschaft. Zusammen mit kostenpflichtigen Erweiterungen können Shopware-Nutzer so einen großen Teil ihrer … » weiterlesen

Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“
Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“

In der kalifornischen Stadt Palo Alto, bekannt vor allem als Konzernsitz von Apple, patroulliert ein Roboter vor einem Einkaufszentrum. Der Knightscope hat keine Waffen wie der „RoboCop“, kann … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?