Sklepy internetowe, korzystające z wtyczek firmy Przelewy24, mogą mieć problemy z bezpieczeństwem transakcji finansowych.
Sklepy internetowe, korzystające z wtyczek firmy Przelewy24, mogą mieć problemy z bezpieczeństwem transakcji finansowych. Fot. Krzysztof Szatkowski / Agencja Gazeta
Reklama.
Zaufana Trzecia Strona otrzymała w tej sprawie sygnał od jednego z czytelników, który z kolei odesłał dziennikarzy portalu do bloga, na którym wyliczono (a później usunięto) dosyć długą listę błędów we wtyczkach opracowanych przez Przelewy24. Przygotowywane przez Przelewy24 wtyczki są darmowe, pozwalają wszystkim chętnym szybko i wygodnie „wejść w usługę”, świadczoną przez Przelewy24.
Analiza na blogu – według jej autora – miała być „pobieżna”, Zaufana Trzecia Strona również nie wdaje się w dociekliwe badania. Wylicza jednak, że luki we wtyczkach mogą umożliwiać złośliwym usuwanie danych, zmianę statusu zamówienia, możliwość fałszowania potwierdzenia zamówienia oraz szereg innych luk potencjalnie narażających użytkowników na szwank. Konsekwencje luk mogą pozwalać np. na "zakupy za darmo" i skasowanie bazy płatności, jak pisze serwis.
Przelewy24 nie odcięły się w swoim komentarzu od rewelacji autora bloga. Firma podkreśla, że wykrywanie niedoróbek przez ekspertów spoza firm jest praktyką normalną, choć nie każdy idzie z tym w pierwszej kolejności d mediów. – Z przeprowadzonej przez nas analizy wynika, iż wystąpiły pewne luki na niewielką skalę – kwituje firma. – Nasz zespół dokonał już niezbędnych zmian w kodzie i nowe wersje wtyczek, które wcześniej zostały przetestowane przez niezależnych audytorów, są sukcesywnie udostępniane kontrahentom – dorzuca.
Kontrahenci zostali też poinformowani o ryzyku oraz konieczności aktualizacji wtyczek. – Do czasu otrzymania informacji o udostępnieniu nowej wersji wtyczek należy wyłączyć lub odinstalować wtyczkę PrestaShop, zaś pozostałe usunąć ze sklepu – zalecają Przelewy24 swoim partnerom. Oznacza to jednak, że sprawa jest poważniejsza. „Błędy znajdujące się w kodzie wtyczek są niestety karygodne” – kwituje sprawę Zaufana Trzecia Strona. – „Nie mówimy tutaj o kodzie obsługującym turniej w kółko i krzyżyk, a o kodzie obsługującym kwestie płatności za zakupy internetowe, który powinien spełniać dużo wyższe wymagania bezpieczeństwa” – kwituje serwis.
źródło: Zaufana Trzecia Strona