| Разработчики: | Magento Inc. |
| Дата последнего релиза: | 2014/12/15 |
| Технологии: | CMS - Системы управления контентом |
Содержание |
Magento — популярная система управления интернет-магазинами в мире*, в том числе в сегменте Enterprise решений. В июне 2011 г. компания Magento Inc. была приобретена компанией eBay Inc. 21 мая 2018 года Adobe сообщила о приобретении Magento за $1,68 млрд. Эта сделка позволит покупателю лучше конкурировать с лидерами рынка электронной коммерции Salesforce.com и Oracle.
Magento - многофункциональное, профессиональное решение с открытым кодом для электронной коммерции, которое предоставляет полный контроль над внешним видом, содержанием и функциональностью онлайн магазина. Интуитивная панель администрации содержит мощные инструменты маркетинга, SEO и систему управления каталогом продукции, предоставляя компании сделать сайт исходя из собственных предпочтений и требований бизнеса.
Magento - это 150 000 клиентов, 6 400 модулей, 800 000 членов сообщества, 4 миллиона скачиваний платформы Magento Community (данные на лето 2014 года).
2020: Взлом 2 тыс. интернет-магазинов
14 сентября 2020 года стало известно о масштабной хакерской кампании, в рамках которой за два дня было взломано свыше 2000 интернет-магазинов, созданных на основе Magento.
Атаки на интернет-магазины были произведены по типичной схеме Magecart, когда хакеры взламывают сайты, а затем внедряют вредоносные скрипты в исходный код магазинов. Вирус перехватывает все данные, которые пользователь вводит в соответствующие поля при оформлении заказа и отправляет их на сервер злоумышленников.
 | В пятницу было заражено 10 магазинов, затем 1058 в субботу, 603 в воскресенье и 233 сегодня, - так 14 сентября 2020 года прокомментировал инцидент с Magento Виллем де Гроот, основатель Sanguine Security (SanSec), голландской фирмы по кибербезопасности, специализирующейся на отслеживании атак Magecart. |  |
Пока что эксперты SanSec не установили, как именно хакеры взламывали пострадавшие сайты, однако Виллем де Гроот отметил, что в августе 2020 года на хакерских форумах появилась реклама уязвимости нулевого дня в Magento 1.x. Это свидетельствует о том, что хакеры ждали подходящего момента. В объявлении некто под ником z3r0day предлагал RCE-эксплоит за $5000.
В SanSec также отметили, что большинство взломанных сайтов использовали Magento устаревшей версии 1.x, чья поддержка была окончательно прекращена 30 июня 2020 года. Кроме того, в 2019 году ИБ-специалисты прогнозировали рост атак на Magento 1.x, опасаясь, что уязвимыми в итоге могут оказаться от 200 000 до 240 000 ресурсов. С того времени число уязвимых ресурсов все же сократилось, по состоянию на середину сентября 2020 года оно достигает порядка 95 000.
| | Эта автоматизированная кампания, безусловно, является самой крупной кампанией, которую Sansec обнаружила с момента начала мониторинга в 2015 году, - добавил де Гроот. | |
Предыдущий рекорд - 962 взломанных магазина за один день (инцидент произошел в июле 2019 года).[1]
2015: В Magento обнаружена критическая уязвимость
22 апреля 2015 года стало известно о выявлении критической уязвимости в открытой платформе электронной коммерции Magento[2].
Панель управления Magento, 2015
В феврале 2015 года была выявлена критическая уязвимость, которая позволяет атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может совершаться минуя процедуру аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в умолчательных (default) конфигурациях.Международный конгресс по anti-age и эстетической медицине — ENTERESTET 2026 
Проведена коррекция кода в обновлении SUPEE-5344, при этом, из-за соглашения о неразглашении, информация об уязвимости была опубликована лишь в эти дни (22 апреля 2015 года).
Релизы Magento и программные заплатки с устранением уязвимостей поставляются отдельно, т.е. пользователю необходимо установить релиз и контролировать появление патчей, применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке корректирующих заплат, что делает их системы потенциально уязвимыми. Например, в составе выпуска Magento 1.9.1.0, доступного по состоянию на 22 апреля 2015 года, исправления не входят.
На 22 апреля 2015 года на платформе Magento работают более 240 тыс. интернет-магазинов.
Примечания
Подрядчики-лидеры по количеству проектов
Системы КлиК (ранее BMicro, БМикро) (107) Extyl (Экстил) (95) Факт (ЦИТ Факт, Центр интернет-технологий Факт) (47) Контек (Conteq) (28) Корус Консалтинг (27) Другие (339) Extyl (Экстил) (21) RDN Group (РДН Групп) (6) Факт (ЦИТ Факт, Центр интернет-технологий Факт) (4) Первый Бит (3) Sellty (Селти) (3) Другие (10) Extyl (Экстил) (8) Первый Бит (6) RDN Group (РДН Групп) (5) Ёлва (Yolva) (5) Интернет-агентство Далее (2) Другие (16)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С-Битрикс (8, 313) Системы КлиК (ранее BMicro, БМикро) (1, 111) Microsoft (8, 70) IBM (4, 29) Контек (Conteq) (2, 18) Другие (192, 94) 1С-Битрикс (2, 37) Agora (1, 1) VK (ранее Mail.ru Group) (1, 1) Форктек (Fork-Tech) (1, 1) MTS Web Services, MWS (МТС Веб Сервисы, МВС) (1, 1) Другие (1, 1) 1С-Битрикс (2, 17) Eventicious (Ивентишес) (1, 2) БизнесАвтоматика НПЦ (1, 2) Цитрос (Citros) (1, 1) SL Soft (СЛ Софт) (1, 1) Другие (4, 4)Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
1С-Битрикс24 - 207 (207, 0) Клиент-Коммуникатор (КлиК) - 111 (111, 0) 1С-Битрикс: Управление сайтом - 102 (100, 2) Microsoft SharePoint - 66 (62, 4) IBM Content Foundation (ранее IBM FileNet) - 28 (28, 0) Другие 99 1С-Битрикс24 - 26 (26, 0) 1С-Битрикс: Управление сайтом - 16 (16, 0) Sellty Конструктор интернет-магазина - 3 (3, 0) SiteFinity - 1 (1, 0) Другие 0 1С-Битрикс24 - 33 (33, 0) 1С-Битрикс: Управление сайтом - 5 (5, 0) Fork-Tech: Telegram Event Assistant - 1 (1, 0) VK CDN - 1 (1, 0) MWS Cloud CDN - 1 (1, 0) Другие 1 1С-Битрикс24 - 16 (16, 0) Ивентишес: Talent Rocks Платформа для всех форматов корпоративного обучения - 2 (2, 0) Visary CMS - 2 (2, 0) SL Soft: Цитрос Цифровая платформа - 1 (1, 0) Т1 Иннотех: Конвейер внешних сайтов - 1 (1, 0) Другие 3 
