Mich würde interessieren ob das damit zusammenpasst was im g2commerce Forum geschrieben wurde: Soweit ich das verstehe behauptet Gambio, dass 4.8. mit den letzten Sicherheitsupdates sicher ist. Mindestens eine externe Stelle behauptet aktuell das Gegenteil. Hier steht Aussage gegen Aussage und als Shopbetreiber weiß man gar nicht mehr, was man nun glauben soll oder was man tun kann.
Ja, unter Module kann man die "Zwei-Faktor-Authentifizierung" installieren und aktivieren. Ich kann natürlich nicht beurteilen, ob das im Endeffekt wirklich etwas bringt, aber es wurde immer wieder darauf hingewiesen, die 2FA unbedingt zu aktivieren....
Ich stelle mir die Frage, wie kommt man an einen zweiten Admin Account als Hacker, wie kommt man auf darauf das es diesen zweiten Account gibt? Beim ersten ist es eventuell noch einfach die Shop Email zu testen. Zweite Frage, wie kommen die Hacker an die Bestätigungsemail des Accounts beim Passwort vergessen, geht ja dann nur mit Postfachzugriff.
Genau das fragen wir uns auch. Wir hatten in der Tat Zwei-Faktor nicht aktiviert. Werden wir jetzt natürlich machen aber erst mal warten wir das Ticket ab. Der zweite Angriff war im Übrigen anscheinend nicht erfolgreich da ich das sofort gemerkt habe und reagieren konnte.
Habe meinen Beitrag noch ergänzt. Zweite Frage, wie kommen die Hacker an die Bestätigungsemail des Accounts beim Passwort vergessen, geht ja dann nur mit Postfachzugriff.
Wir hatten sämtliche Postfach-PWs geändert nach Hack 1. Vermutung ist, dass der erzeugte Link evtl. auf irgend eine Weise abgefischt werden kann. Denn die Mail-PWs vom Admin sind nirgendwo in Gambio gespeichert.
g2c hat das 26.04. Update geprüft und diese Menge an geschlossen Lücken gefunden. In der Update-Beschreibung von Gambio steht auch, dass Sicherheitslücken geschlossen wurden. Aber es wurde kein eigenes Sicherheitsupdate angeboten. Jeder Hacker kann sich dieses Update nehmen und findet genauso wie g2c die geschlossenen Lücken. Und diese Lücken sind nunmal in allen Shops, die mit einer Version unter 26.03 unterwegs sind. Und bei allen, die erst vor wenigen Tagen von 4.x auf 26.05. gegangen sind, könnten die Hacker schon lange drin sein.
Diesbezüglich hatte ich gestern ein Ticket eröffnet mit der Bitte um Check. Gefunden wurden keine Auffälligkeiten. Die Dateien, die wir uns laut Support anschauen sollten, waren alle von uns.
Bei der letzten Angriffswelle hatte @Orange Raven ein Skript zum Testen erstellt: (Link nur für registrierte Nutzer sichtbar.) Ob das bei euch auch greift, weiß ich nicht.
Die Zwei-Faktor-Authentifizierung funktioniert aber nur mit einer separatem App. Das würde bei uns kaum ein Kunde mitmachen. Übrigens ich als Kunde auch nicht, da ich meine Einkäufe ausschließlich über den PC mache. Warum dies nicht über eine Mail realisiert werden kann sondern wieder nur über ein US Konzern finde ich schon sehr Schade.
Es gibt ein Modul im Store und/oder Modulcenter. (Je nach Version) Eure Kunden müssen das nicht machen. Wichtig ist, dass es die Admins eurer Shops machen.
An alle, die keine 2FA für die Admin-Accounts im eigenen Shop haben: Reicht es euch zu Hause eigentlich auch, dass eine Tür vorhanden ist, ohne dass man sie abschliesst?
Wir sind aktuell noch offline. Kannst Du mir kurz sagen, wie der schnelle Ablauf mit installiertem 2-Faktor dann ist für mich als Admin?
Wenn du 2FA installiert hast meldest du dich mit deinem Admin im Shop an und findest dann im Frontend unter "Ihr Konto" den Punkt "Zwei-Faktor-Authentifizierung konfigurieren". Darüber kannst du das pro Benutzer / Admin einrichten, wobei der normale Kunde diese Funktion auch nutzen könnte, wenn er will. Im Checkout erscheint die Funktion meines Wissens nicht, sodass die meisten Kunden sie nicht nutzen oder finden. Du benötigst für die 2FA die Google Authenticator App.
Na ja ich gebe den kleinen Shop Betreibern da wenig Schuld, woher sollen Sie es denn wissen wenn man nicht aktiv danach sucht. Das sollte bei der Admin Rolle sofort mit einem Popup als Hinweis und der Anleitung zur Aktivierung erscheinen, wer es dann noch immer nicht macht, selbst schuld.
Heutzutage weiß tatsächlich jeder, dass es 2-FA gibt und dies eine deutlich höhere Sicherheit mit sich bringt. Wir dürfen nicht erwarten, dass man uns das Mitdenken abnimmt.
Gerade wird mein Postfach mit PW-Rücksetzungsmails geflutet. Von allen möglichen Seiten, auch welche, auf denen wir nie angemeldet waren. Kritisch aber... auch das Gambio Kundenportal hat eine Mail geschickt!