I fjor høst skrev digi.no at en rekke norske nettbutikker, som benytter den mye brukte nettbutikkløsningen Magento, var blitt hacket. Felles for mange av dem, var det at det ikke var installert de nyeste sikkerhetsoppdateringene til Magento.
Nå på nyåret bestemte vi oss for å følge opp saken. Etter råd fra Ben Tore Førland, rådgiver hos Magento-leverandøren Markant, henvendte vi oss til to av nettbutikkene som tilsynelatende ikke hadde gjort noe for å fjerne uvesenet – parishtexas.no og godlyd.no.
Førland har siden i fjor høst brukt tid på å informere de berørte nettbutikkene, men har langt fra alltid nådd fram. Dette kan skyldes at nettbutikkeierne primært har oppfattet ham som en som ville selge dem noe, selv om Førland understreker at hans agenda kun har vært å sørge for trygge nettbutikker og for dempe eventuell negativ oppmerksomhet rundt Magenta-merkevaren.
Da digi.no sendte en epost til hver av de to nevnte nettbutikkene, fikk vi svar samme dag. Begge var tydelig klar over situasjonen.
Bakgrunn: Tusenvis av nettbutikker har skadevare som stjeler kredittkortinfo. Også norske på listen
Alvorlig skadevare
Magento-installasjonen til nettbutikken parishtexas.no var ikke blitt oppdatert på lenge. Der hadde uvedkommende installert et skript som i utgangspunktet kunne samle inn kontakt- og kredittkortinformasjon fra kundene.
– Det er bare å beklage at nettbutikken ikke har blitt oppdatert før, men i den perioden jeg ble varslet om dette, jobbet jeg svært lite med nettbutikken, skriver Gry Luke Muggerud, innehaver av Parish, Texas, i den første eposten til digi.no.
Samtidig understreker hun at betalingsløsningen i nettbutikken overhodet ikke har fungert, slik at det ikke har vært noen mulighet for de potensielle kundene å oppgi noen kontakt- eller kredittinformasjon. I praksis har nettbutikken derfor ligget død en stund.
Da digi.no tok kontakt, skal Muggerud allerede ha installert noen av de nødvendige oppdateringene. Hun lovet at dette arbeidet skulle fullføres før helgen inntraff i forrige uke, inkludert å fjerne skadevaren. Dette ble da også gjort.
Les også: Er skremt av responsen fra hackede, norske nettbutikker
Godlyd
Det å besøke Godlyd.no i forrige uke må sies å ha vært virkelig slitsomt. Selv om forsiden lot seg åpne uten problemer, kunne man knapt trykke på noe som helst før det begynte å sprette opp nye nettleservinduer med alt fra annonser for blant annet relativt legitime bettingtjenester, til forsøk på å installere nettleserutvidelser. Selv for undertegnede som nok har «vært ute i en vinterdag på nettet» før, var det vanskelig å få stengt alt før noe nytt spratt opp. Vi tør nesten ikke tenke på hvilke problemer mer uerfarne nettleserbruker må ha opplevd når de har besøkt godlyd.no.
– Vi er kjent med problemene med nettbutikken og har vært i dialog med Trollweb AS (som hoster løsningen) over noe tid for å diskutere mulige løsninger. I mellomtiden har problemet blitt så stort at vi har bedt Trollweb stenge butikken for å unngå å eksponere våre kunder for sikkerhetsrisikoen, skrev daglig leder i Godlyd, Debora Lee Cooper, i en epost til digi.no i slutten av forrige uke.
– Vi er selvfølgelig kjent med ansvaret vi har overfor våre kunder og tar dette på alvor. Det har samtidig vært overraskende for oss å finne ut at vi selv må ta initiativ til, og betale for, løpende oppdateringer av programvaren for å holde nettbutikken virusfri, fortsatte Cooper.
Leste du denne? Mange norske nettbutikker fortjener fortsatt strykkarakter for sikkerheten
Trollweb
Trollweb opplyser selv at selskapet er Nordens ledende leverandør av Magento. At dette skulle drifte et nettbutikk med i så miserabel stand som det Godlyd var, ville være svært oppsiktsvekkende. Vi tok derfor kontakt med daglig leder Roy Andre Tollefsen, som fjor høst bidro med informasjon etter at vi skrev om Magento-problemene for første gang.
Blant annet fortalte han at ikke alle innbruddene skyldes manglende installasjon av sikkerhetsoppdateringer til Magento, men også «brute force»-forsøk på å logge seg inn. Han viste den gang til dette blogginnlegget.
Tollefsen har forklart digi.no hva som har skjedd i dette tilfellet, men krever at vi ikke videreformidler dette, siden det dreier seg om konfidensiell kundeinformasjon. Siden Cooper ikke har bekreftet de få detaljene som ville ha vært oppklarende for leserne, må vi unnlate å hå på inn på dette her.
På mer generelt grunnlag påpeker Tollefsen at Trollweb har ganske temmelig klare tjenestevilkår. På spørsmål om kundene kan forvente jevnlig installasjon av Magento-oppdateringer, svare han:
– Magento er ikke en SaaS-løsning [Software as a Service, journ. anm] der man bør forvente automatiske oppdateringer. Magento må sammenlignes med for eksempel ERP-løsninger som MS Dynamics NAV, AX og SAP, skriver Tollefsen.
Han forteller at Trollweb likevel overvåker kundes nettbutikker for å se etter et hundretall kjente og mindre kjente sårbarheter. I tillegg installeres sikkerhetsoppdateringer proaktivt så lenge dette finnes til den Magento-løsningen som kunden benytter. Ifølge Tollefsen er det få Magento-leverandører som faktisk gjør dette.
Stengt
Resultatet av problemene hos godlyd.no er at nettbutikken ble stengt. Dette bekreftet Cooper på mandag, etter at hun også hadde lagt ut en kunngjøring om problemene på selskapets Facebook-sider.
– Vi vurderer hvilken løsning vi skal basere oss på i det videre, opplyste Cooper i en epost til digi.no i går.
Selv parishtexas.no og godlyd.no nå har sørget for å sikre kundene mot skadevaren, så er det fortsatt en rekke norske nettbutikker som benytter sårbare versjoner av Magento, og noen av disse er infiserte med skadevare.
Den nyeste oversikten over skadevareinfiserte Magento-nettbutikker er fra 29. november i fjor. Forhåpentligvis har mange av de nevnte nettbutikkene få rydde opp til nå. Men dette gjelder i alle fall ikke alle de norske nettbutikkene på listen.
Man kan sjekke om en Magento-basert nettbutikk er infisert med kjent skadevare på denne siden, mens man på denne siden kan se om en Magento-basert nettbutikk har kjente sårbarheter.
Les også: Ruller ut HTTPS til over tusen norske nettbutikker