Mich würde interessieren ob das damit zusammenpasst was im g2commerce Forum geschrieben wurde: Soweit ich das verstehe behauptet Gambio, dass 4.8. mit den letzten Sicherheitsupdates sicher ist. Mindestens eine externe Stelle behauptet aktuell das Gegenteil. Hier steht Aussage gegen Aussage und als Shopbetreiber weiß man gar nicht mehr, was man nun glauben soll oder was man tun kann.
Ja, unter Module kann man die "Zwei-Faktor-Authentifizierung" installieren und aktivieren. Ich kann natürlich nicht beurteilen, ob das im Endeffekt wirklich etwas bringt, aber es wurde immer wieder darauf hingewiesen, die 2FA unbedingt zu aktivieren....
Ich stelle mir die Frage, wie kommt man an einen zweiten Admin Account als Hacker, wie kommt man auf darauf das es diesen zweiten Account gibt? Beim ersten ist es eventuell noch einfach die Shop Email zu testen. Zweite Frage, wie kommen die Hacker an die Bestätigungsemail des Accounts beim Passwort vergessen, geht ja dann nur mit Postfachzugriff.
Genau das fragen wir uns auch. Wir hatten in der Tat Zwei-Faktor nicht aktiviert. Werden wir jetzt natürlich machen aber erst mal warten wir das Ticket ab. Der zweite Angriff war im Übrigen anscheinend nicht erfolgreich da ich das sofort gemerkt habe und reagieren konnte.
Habe meinen Beitrag noch ergänzt. Zweite Frage, wie kommen die Hacker an die Bestätigungsemail des Accounts beim Passwort vergessen, geht ja dann nur mit Postfachzugriff.
Wir hatten sämtliche Postfach-PWs geändert nach Hack 1. Vermutung ist, dass der erzeugte Link evtl. auf irgend eine Weise abgefischt werden kann. Denn die Mail-PWs vom Admin sind nirgendwo in Gambio gespeichert.
g2c hat das 26.04. Update geprüft und diese Menge an geschlossen Lücken gefunden. In der Update-Beschreibung von Gambio steht auch, dass Sicherheitslücken geschlossen wurden. Aber es wurde kein eigenes Sicherheitsupdate angeboten. Jeder Hacker kann sich dieses Update nehmen und findet genauso wie g2c die geschlossenen Lücken. Und diese Lücken sind nunmal in allen Shops, die mit einer Version unter 26.03 unterwegs sind. Und bei allen, die erst vor wenigen Tagen von 4.x auf 26.05. gegangen sind, könnten die Hacker schon lange drin sein.
Diesbezüglich hatte ich gestern ein Ticket eröffnet mit der Bitte um Check. Gefunden wurden keine Auffälligkeiten. Die Dateien, die wir uns laut Support anschauen sollten, waren alle von uns.
Bei der letzten Angriffswelle hatte @Orange Raven ein Skript zum Testen erstellt: (Link nur für registrierte Nutzer sichtbar.) Ob das bei euch auch greift, weiß ich nicht.
Die Zwei-Faktor-Authentifizierung funktioniert aber nur mit einer separatem App. Das würde bei uns kaum ein Kunde mitmachen. Übrigens ich als Kunde auch nicht, da ich meine Einkäufe ausschließlich über den PC mache. Warum dies nicht über eine Mail realisiert werden kann sondern wieder nur über ein US Konzern finde ich schon sehr Schade.
Es gibt ein Modul im Store und/oder Modulcenter. (Je nach Version) Eure Kunden müssen das nicht machen. Wichtig ist, dass es die Admins eurer Shops machen.
An alle, die keine 2FA für die Admin-Accounts im eigenen Shop haben: Reicht es euch zu Hause eigentlich auch, dass eine Tür vorhanden ist, ohne dass man sie abschliesst?
Wir sind aktuell noch offline. Kannst Du mir kurz sagen, wie der schnelle Ablauf mit installiertem 2-Faktor dann ist für mich als Admin?