| Разработчики: | Magento Inc. |
| Дата последнего релиза: | 2014/12/15 |
| Технологии: | CMS - Системы управления контентом |
Содержание |
Magento — популярная система управления интернет-магазинами в мире*, в том числе в сегменте Enterprise решений. В июне 2011 г. компания Magento Inc. была приобретена компанией eBay Inc. 21 мая 2018 года Adobe сообщила о приобретении Magento за $1,68 млрд. Эта сделка позволит покупателю лучше конкурировать с лидерами рынка электронной коммерции Salesforce.com и Oracle.
Magento - многофункциональное, профессиональное решение с открытым кодом для электронной коммерции, которое предоставляет полный контроль над внешним видом, содержанием и функциональностью онлайн магазина. Интуитивная панель администрации содержит мощные инструменты маркетинга, SEO и систему управления каталогом продукции, предоставляя компании сделать сайт исходя из собственных предпочтений и требований бизнеса.
Magento - это 150 000 клиентов, 6 400 модулей, 800 000 членов сообщества, 4 миллиона скачиваний платформы Magento Community (данные на лето 2014 года).
2020: Взлом 2 тыс. интернет-магазинов
14 сентября 2020 года стало известно о масштабной хакерской кампании, в рамках которой за два дня было взломано свыше 2000 интернет-магазинов, созданных на основе Magento.
Атаки на интернет-магазины были произведены по типичной схеме Magecart, когда хакеры взламывают сайты, а затем внедряют вредоносные скрипты в исходный код магазинов. Вирус перехватывает все данные, которые пользователь вводит в соответствующие поля при оформлении заказа и отправляет их на сервер злоумышленников.
 | В пятницу было заражено 10 магазинов, затем 1058 в субботу, 603 в воскресенье и 233 сегодня, - так 14 сентября 2020 года прокомментировал инцидент с Magento Виллем де Гроот, основатель Sanguine Security (SanSec), голландской фирмы по кибербезопасности, специализирующейся на отслеживании атак Magecart. |  |
Пока что эксперты SanSec не установили, как именно хакеры взламывали пострадавшие сайты, однако Виллем де Гроот отметил, что в августе 2020 года на хакерских форумах появилась реклама уязвимости нулевого дня в Magento 1.x. Это свидетельствует о том, что хакеры ждали подходящего момента. В объявлении некто под ником z3r0day предлагал RCE-эксплоит за $5000.
В SanSec также отметили, что большинство взломанных сайтов использовали Magento устаревшей версии 1.x, чья поддержка была окончательно прекращена 30 июня 2020 года. Кроме того, в 2019 году ИБ-специалисты прогнозировали рост атак на Magento 1.x, опасаясь, что уязвимыми в итоге могут оказаться от 200 000 до 240 000 ресурсов. С того времени число уязвимых ресурсов все же сократилось, по состоянию на середину сентября 2020 года оно достигает порядка 95 000.
| | Эта автоматизированная кампания, безусловно, является самой крупной кампанией, которую Sansec обнаружила с момента начала мониторинга в 2015 году, - добавил де Гроот. | |
Предыдущий рекорд - 962 взломанных магазина за один день (инцидент произошел в июле 2019 года).[1]
2015: В Magento обнаружена критическая уязвимость
22 апреля 2015 года стало известно о выявлении критической уязвимости в открытой платформе электронной коммерции Magento[2].
Панель управления Magento, 2015
В феврале 2015 года была выявлена критическая уязвимость, которая позволяет атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может совершаться минуя процедуру аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в умолчательных (default) конфигурациях.«Диасофт» и «Центр «РИС» подтвердили безопасность решения Digital Q.ERP 
Проведена коррекция кода в обновлении SUPEE-5344, при этом, из-за соглашения о неразглашении, информация об уязвимости была опубликована лишь в эти дни (22 апреля 2015 года).
Релизы Magento и программные заплатки с устранением уязвимостей поставляются отдельно, т.е. пользователю необходимо установить релиз и контролировать появление патчей, применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке корректирующих заплат, что делает их системы потенциально уязвимыми. Например, в составе выпуска Magento 1.9.1.0, доступного по состоянию на 22 апреля 2015 года, исправления не входят.
На 22 апреля 2015 года на платформе Magento работают более 240 тыс. интернет-магазинов.
Примечания
Подрядчики-лидеры по количеству проектов
Системы КлиК (ранее BMicro, БМикро) (107) Extyl (Экстил) (95) Факт (ЦИТ Факт, Центр интернет-технологий Факт) (47) Контек (Conteq) (28) Корус Консалтинг (27) Другие (339) Extyl (Экстил) (21) RDN Group (РДН Групп) (6) Факт (ЦИТ Факт, Центр интернет-технологий Факт) (4) Sellty (Селти) (3) Первый Бит (3) Другие (10) Extyl (Экстил) (8) Первый Бит (6) RDN Group (РДН Групп) (5) Ёлва (Yolva) (5) MCArt (Эм Си Арт) (2) Другие (16)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С-Битрикс (8, 313) Системы КлиК (ранее BMicro, БМикро) (1, 111) Microsoft (8, 70) IBM (4, 29) Контек (Conteq) (2, 18) Другие (192, 94) 1С-Битрикс (2, 37) Agora (1, 1) VK (ранее Mail.ru Group) (1, 1) Форктек (Fork-Tech) (1, 1) MTS Web Services, MWS (МТС Веб Сервисы, МВС) (1, 1) Другие (1, 1) 1С-Битрикс (2, 17) Eventicious (Ивентишес) (1, 2) БизнесАвтоматика НПЦ (1, 2) SL Soft (СЛ Софт) (1, 1) Т1 Иннотех (ГК Иннотех) (1, 1) Другие (4, 4)Распределение систем по количеству проектов, не включая партнерские решения
1С-Битрикс24 - 207 Клиент-Коммуникатор (КлиК) - 111 1С-Битрикс: Управление сайтом - 100 Microsoft SharePoint - 62 IBM Content Foundation (ранее IBM FileNet) - 28 Другие 129 1С-Битрикс24 - 26 1С-Битрикс: Управление сайтом - 16 Sellty Конструктор интернет-магазина - 3 Visary CMS - 1 SiteFinity - 1 Другие 0 1С-Битрикс24 - 33 1С-Битрикс: Управление сайтом - 5 Fork-Tech: Telegram Event Assistant - 1 Agora: B2C и B2B-платформа электронной коммерции и закупок - 1 Conteq iSpace Платформа - 1 Другие 2 
