圖片來源：magento.com

0. 前言

Magento (magento.com) 是一個被線上商店廣泛地使用的電子商務應用程式，為線上購物或電子商務網站提供一個交易平台。

HKCERT 知悉一位來自荷蘭的保安研究員 Willem de Groot (gwillem.gitlab.io) 於 2016 年 10 月發表了一份研究報告，講述有漏洞的 Magento 網站受「線上截取」（online skimming）影響，意思是網絡罪犯可以入侵這些網站內過時的 Magento 程式，截取信用卡資料。部份網站是寄存於本港或與本港網絡環境有關。本指引旨在向線上商店提供復原及保護 Magento 程式的建議。

1. 受影響的網站所面對的保安威脅

根據該研究報告，過時或未修補的 Magento 程式會面對以下的保安威脅：

• 針對網站原始碼的 JavaScript「wiretap」：罪犯能截取信用卡及其他付款資料 (2016年10月)
• Visbot 惡意程式：罪犯能截取信用卡及其他付款資料，甚至控制網站 (2016年12月)

2. 被入侵的 Magento 程式所帶來的商業影響

該研究報告指出，網絡罪犯對被入侵的 Magento 程式內的付款及信用卡資料垂涎。因此，程式入侵會對商店及其客戶造成財物損失，商店亦可能因客戶蒙受金錢上的損失或敏感資料的外洩而被索償。

3. 如何復原被入侵的 Magento 程式

• 檢查你的 Magento 程式 是否受漏洞影響或已被入侵。請使用 MageReport (https://www.magereport.com/) 檢視網站的保安狀態。
• 依照以下指示來復原被入侵的 Magento 程式：
  • 如何修復被入侵的 Magento 商店（只有英文版本）
  • 如何修復惡意 JavaScript 信用卡資料外洩？（只有英文版本）
• 你亦可使用一些掃瞄工具找出並修復網站的其他漏洞。

4. 預防 Magento 程式的入侵

• 確保你的 Magento 程式安裝了最新的保安修補 (magento.com/security)。
• 確保網站的其他部分如伺服器的作業系統、網站伺服器等得到最新的修補。
• 定期使用上述的工具進行網站漏洞掃瞄。
• 以業內或高認受性的標準進行保安評核，例如 OWASP 10大準則或 PCI DSS (適用於信用卡行業)。

5. 因應入侵建議的潛在跟進措施

• 若懷疑有資料外洩的情況，應考慮依照相關程序通知個人資料私隱專員公署。
• 若懷疑有財物損失，應考慮到附近的警署備案。