| Разработчики: | Magento Inc. |
| Дата последнего релиза: | 2014/12/15 |
| Технологии: | CMS - Системы управления контентом |
Содержание |
Magento — популярная система управления интернет-магазинами в мире*, в том числе в сегменте Enterprise решений. В июне 2011 г. компания Magento Inc. была приобретена компанией eBay Inc. 21 мая 2018 года Adobe сообщила о приобретении Magento за $1,68 млрд. Эта сделка позволит покупателю лучше конкурировать с лидерами рынка электронной коммерции Salesforce.com и Oracle.
Magento - многофункциональное, профессиональное решение с открытым кодом для электронной коммерции, которое предоставляет полный контроль над внешним видом, содержанием и функциональностью онлайн магазина. Интуитивная панель администрации содержит мощные инструменты маркетинга, SEO и систему управления каталогом продукции, предоставляя компании сделать сайт исходя из собственных предпочтений и требований бизнеса.
Magento - это 150 000 клиентов, 6 400 модулей, 800 000 членов сообщества, 4 миллиона скачиваний платформы Magento Community (данные на лето 2014 года).
2020: Взлом 2 тыс. интернет-магазинов
14 сентября 2020 года стало известно о масштабной хакерской кампании, в рамках которой за два дня было взломано свыше 2000 интернет-магазинов, созданных на основе Magento.
Атаки на интернет-магазины были произведены по типичной схеме Magecart, когда хакеры взламывают сайты, а затем внедряют вредоносные скрипты в исходный код магазинов. Вирус перехватывает все данные, которые пользователь вводит в соответствующие поля при оформлении заказа и отправляет их на сервер злоумышленников.
 | В пятницу было заражено 10 магазинов, затем 1058 в субботу, 603 в воскресенье и 233 сегодня, - так 14 сентября 2020 года прокомментировал инцидент с Magento Виллем де Гроот, основатель Sanguine Security (SanSec), голландской фирмы по кибербезопасности, специализирующейся на отслеживании атак Magecart. |  |
Пока что эксперты SanSec не установили, как именно хакеры взламывали пострадавшие сайты, однако Виллем де Гроот отметил, что в августе 2020 года на хакерских форумах появилась реклама уязвимости нулевого дня в Magento 1.x. Это свидетельствует о том, что хакеры ждали подходящего момента. В объявлении некто под ником z3r0day предлагал RCE-эксплоит за $5000.
В SanSec также отметили, что большинство взломанных сайтов использовали Magento устаревшей версии 1.x, чья поддержка была окончательно прекращена 30 июня 2020 года. Кроме того, в 2019 году ИБ-специалисты прогнозировали рост атак на Magento 1.x, опасаясь, что уязвимыми в итоге могут оказаться от 200 000 до 240 000 ресурсов. С того времени число уязвимых ресурсов все же сократилось, по состоянию на середину сентября 2020 года оно достигает порядка 95 000.
| | Эта автоматизированная кампания, безусловно, является самой крупной кампанией, которую Sansec обнаружила с момента начала мониторинга в 2015 году, - добавил де Гроот. | |
Предыдущий рекорд - 962 взломанных магазина за один день (инцидент произошел в июле 2019 года).[1]
2015: В Magento обнаружена критическая уязвимость
22 апреля 2015 года стало известно о выявлении критической уязвимости в открытой платформе электронной коммерции Magento[2].
Панель управления Magento, 2015
В феврале 2015 года была выявлена критическая уязвимость, которая позволяет атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может совершаться минуя процедуру аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в умолчательных (default) конфигурациях.Надежная ИТ-инфраструктура для финтеха: как перевести на российский Kubernetes крупнейшую финансовую платформу 
Проведена коррекция кода в обновлении SUPEE-5344, при этом, из-за соглашения о неразглашении, информация об уязвимости была опубликована лишь в эти дни (22 апреля 2015 года).
Релизы Magento и программные заплатки с устранением уязвимостей поставляются отдельно, т.е. пользователю необходимо установить релиз и контролировать появление патчей, применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке корректирующих заплат, что делает их системы потенциально уязвимыми. Например, в составе выпуска Magento 1.9.1.0, доступного по состоянию на 22 апреля 2015 года, исправления не входят.
На 22 апреля 2015 года на платформе Magento работают более 240 тыс. интернет-магазинов.
Примечания
Подрядчики-лидеры по количеству проектов
Системы КлиК (ранее BMicro, БМикро) (107) Extyl (Экстил) (88) Факт (ЦИТ Факт, Центр интернет-технологий Факт) (44) Корус Консалтинг (23) Qsoft (Кьюсофт) (15) Другие (275) Extyl (Экстил) (22) Факт (ЦИТ Факт, Центр интернет-технологий Факт) (8) Корус Консалтинг (2) Норбит (2) БизнесАвтоматика НПЦ (1) Другие (9) Extyl (Экстил) (14) Areal, Ареал (ранее Arealidea) (4) Корус Консалтинг (3) Факт (ЦИТ Факт, Центр интернет-технологий Факт) (3) Квант (МТ-Технологии) (2) Другие (10)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С-Битрикс (8, 253) Системы КлиК (ранее BMicro, БМикро) (1, 111) Microsoft (8, 70) IBM (4, 29) БизнесАвтоматика НПЦ (1, 12) Другие (171, 69) 1С-Битрикс (3, 29) БизнесАвтоматика НПЦ (1, 2) Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) (1, 2) Квант (МТ-Технологии) (1, 2) Oracle (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
1С-Битрикс24 - 153 Клиент-Коммуникатор (КлиК) - 111 1С-Битрикс: Управление сайтом - 94 Microsoft SharePoint - 62 IBM Content Foundation (ранее IBM FileNet) - 28 Другие 99 1С-Битрикс24 - 20 1С-Битрикс: Управление сайтом - 16 Pimcore Система управления большими массивами данных о товарах и услугах - 1 Cappasity Платформа для электронной коммерции - 1 Visary CMS - 1 Другие 5 1С-Битрикс: Управление сайтом - 16 1С-Битрикс24 - 12 Визуальный конструктор услуг - 2 Visary CMS - 2 Квант: DOOH DSP Programmatic - 2 Другие 2 1С-Битрикс24 - 17 1С-Битрикс: Управление сайтом - 14 Sellty Конструктор интернет-магазина - 3 SiteFinity - 2 Visary CMS - 2 Другие 0 
