Iltalehti: IT-yritys: Miljoonien verkkoshoppailijoiden maksutiedot vaarantuivat

22.4.2015

Tietoturvayritys paljasti haavoittuvuuden Magento-maksujärjestelmässä, jota käyttää kolmannes maailman verkkokaupoista. Joukosta löytyi suomalaisyritys Rovion entinen verkkokauppa ja huutokauppajättiläinen Ebay.

Check Point Software Technologies -tietoturvayritys on paljastanut tietoturva-aukon, joka on saattanut vaarantaa miljoonien luottokorttitiedot ympäri maailman.

Myös suomalaisten maksutiedot saattoivat olla vaarassa, sillä aukko kosketti erittäin suurta määrää maailman eri verkkokaupoista. Joukossa oli mukana suomalaisen peliyritys Rovion entinen verkkokauppa ja kansainvälisesti suosittu verkkohuutokauppa Ebay.

Check Pointin tutkijoiden mukaan tietoturva-aukko löytyi suositun maksujärjestelmä Magenton koodista. Se avasi ovet hakkereille, jotka olisivat voineet ainakin teoriassa päästä aukon kautta käsiksi kaikkien Magenton järjestelmää käyttävien verkkokauppojen asiakastietoihin, kuten luottokorttinumeroihin ja yhteystietoihin.

- Löytämämme haavoittuvuus on merkittävä uhka eBayn ohella kaikille muillekin yrityksille, jotka ovat rakentaneet verkkokauppansa Magento-alustalle, sanoo Check Pointin tutkimusjohtaja Shahar Tal yhtiön tiedotteessa.

Rovio esitellään asiakkaana Magenton verkkosivuilla. Kyseisessä verkkokaupassa myytiin muun muassa Rovion Angry Birds -hahmojen oheistuotteita. Roviolta kerrotaan IL:lle, että Magentoa käytettiin yhtiön entisessä verkkokaupassa, joka suljettiin noin puoli vuotta sitten.

Aukko paikattiin helmikuussa

Magenton haavoittuvuudessa ei ole kyse aivan pienestä tietoturvariskistä, sillä Magenton järjestelmiä käyttää jopa 200 000 verkkokauppaa ympäri maailman. Ebayn ja Rovion vanhan verkkokaupan lisäksi joukossa ovat muun muassa kenkäyhtiö Niken, vaateyhtiö Gantin ja kameravalmistaja Olympuksen verkkokaupat.

- Arviomme mukaan noin 30 prosenttia kaikista maailman verkkokaupoista käyttää Magentoa, Tal sanoo.

Vakava tietoturva-aukko ei asiakkaiden onneksi ole enää ammollaan, sillä se korjattiin jo ennen asian julkistamista helmikuun 9. päivä 2015 tehdyssä päivityksessä.

Check Pointin tiedote on luettavissa yhtiön kotisivuilta.

Rovio: emme keränneet tietoja

Peliyhtiö Rovion mukaan Magentoa käyttänyt verkkokauppa suljettiin noin puoli vuotta sitten, eli joitakin kuukausia ennen haavoittuvuuden paljastumista. Magento oli Rovion verkkokaupan käytössä vuodesta 2012 vuoteen 2014.

Rovion viestinnän mukaan yhtiö ei kerännyt asiakkaiden luottokorttitietoja, eivätkä asiakastiedot täten olleet vaarassa.

Juttua päivitetty Rovion kommenteilla ja korjattu: Magento oli käytössä Rovion vanhassa verkkokaupassa, joka suljettiin vuoden 2014 lopulla. Tämänhetkinen verkkokauppa ei käytä Magentoa, sanoo Rovio.

LASSI LAPINTIE
lassi.lapintie@ilmedia.fi