Adobe, Mastercard y Visa advierten a los propietarios de tiendas en línea de Magento 1.x EOL


magento

Los procesadores de pagos Visa y Mastercard, junto con Adobe, han intentado este último esfuerzo este mes para lograr que los propietarios de las tiendas en línea actualicen sus plataformas.

En tres días, el 30 de junio, la plataforma Magento 1.x alcanzará su fecha oficial de fin de vida (EOL), después de la cual Adobe planea dejar de ofrecer actualizaciones de seguridad.

Las tiendas que no se han actualizado a la última sucursal 2.x y todavía están ejecutando instalaciones de Magento 1.x serán muy vulnerables a los ataques de los piratas informáticos.

El peligro se considera alto ya que durante los últimos tres años, los piratas informáticos han estado explotando en gran medida los errores de Magento para violar las tiendas e insertar el código de robo de tarjetas de pago en los formularios de pago, en una forma de ataque conocida como desnatado net o Magecart.

Mastercard y Visa se involucran

A principios de esta semana, el procesador de pagos Mastercard ha emitido una alerta de seguridad a sus clientes sobre el tema.

En una copia de esta alerta vista por ZDNet, la compañía dijo que su equipo de Compromiso de Datos de Cuenta (ADC) de Mastercard, responsable de investigar las brechas de seguridad que afectan los datos de los titulares de tarjetas, descubrió que los incidentes de descremado en la world-wide-web han estado creciendo en los últimos años. La mayoría de estos se remontan a sitios web que ejecutan versiones anteriores del software program de la tienda world-wide-web Magento.

Mastercard dijo que el 77% de las compañías investigadas en estos incidentes no cumplían con el requisito 6 de PCI DSS, la regla que requiere que los propietarios de tiendas ejecuten sistemas actualizados.

La alerta de Mastercard llega después de que Visa envió uno propio en abril. Al igual que Mastercard, Visa advirtió a los propietarios de las tiendas que actualicen a la última sucursal, Magento 2.3.x, para evitar ataques en sus tiendas.

Pero mientras Mastercard tomó un tono más ligero con sus clientes, Visa fue muy contundente en su advertencia, dejando en claro que si los comerciantes no se actualizaran de la sucursal de Magento 1.x, eventualmente no cumplirían con el estándar PCI DSS.

La pérdida de la acreditación PCI DSS es un desastre para las tiendas en línea o cualquier otra empresa que gestione los pagos con tarjeta en línea, ya que podrían ser directamente responsables de los daños que causan a sus clientes.

Adobe retrasó la EOL de Magento 1.x dos veces

Pero los dos procesadores de pagos no fueron los únicos que advirtieron a sus clientes sobre la EOL de Magento 1.x. También Adobe, la compañía que ahora posee el application Magento y el servidor en la nube para alojar las tiendas Magento.

Adobe, que adquirió Magento en mayo de 2018, ha sido más que amable e indulgente con los propietarios de tiendas Magento 1.x.

La sucursal 1.x se lanzó en 2008 e inicialmente estaba programada para llegar a EOL en noviembre de 2018.

Tres años antes, en 2015, el equipo de Magento lanzó la versión 2., una actualización muy necesaria, que fue una reescritura whole y un rediseño arquitectónico de la versión 1.x anterior y anticuada.

Desafortunadamente, la comunidad propietaria de la tienda Magento no recibió el nuevo lanzamiento 2.x con los brazos abiertos. Debido a la gran cantidad de cambios importantes entre las dos versiones, muchos propietarios de tiendas optaron por permanecer en la versión 1.x anterior y evitar tener que volver a implementar sus tiendas desde cero y evitar tiempos de inactividad prolongados, lo cual es una práctica bastante común en la comunidad webdev.

Después de que Adobe adquirió el antiguo equipo de Magento, los dueños de las tiendas le pidieron a la compañía que retrasara la EOL de la sucursal 1.x, lo cual Adobe acordó, trasladando la EOL oficial al 1 de junio de 2020.

A medida que la pandemia de coronavirus (COVID-19) golpeó a principios de este año, Adobe nuevamente retrasó gentilmente la EOL de Magento 1.x, moviéndola del 1 de junio al 30 de junio para dar a los propietarios de tiendas más tiempo para lidiar con la rotura de último minuto en sus sitios y acomodar horarios de trabajo desde casa.

Pero esto fue todo El último EOL force-back again.

Esta semana, el 22 de junio, Adobe lanzó las actualizaciones de seguridad finales para la sucursal de Magento 1.x, y dijo que estas serían las últimas, pidiendo a los propietarios de las tiendas que actualicen a Magento 2.x.

Casi 110,000 tiendas siguen ejecutando Magento 1.x

Pero, lamentablemente, a pesar de que los propietarios de las tiendas sabían a fines de 2018 que se acercaba una EOL, muchos no han actuado. Alrededor del 75% de las tiendas Magento de hoy todavía funcionan en la sucursal 1.x.

Según la firma de ciberseguridad SanSec, hay casi 110,000 tiendas que aún ejecutan la sucursal 1.x, mientras que solo 37,500 tiendas ejecutan la sucursal más nueva.

magento-stuff.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/27/ffcaf545-3a46-4168-9916-b975d53084e6/magento-stuff.png

Una vez que el 1.x llegue a EOL el próximo miércoles, cualquier nuevo exploit de Magento 1.x será un desastre para el mercado de la tienda en línea, ya que no habrá parches próximos.

En conversaciones con expertos de la comunidad de seguridad world-wide-web, a este reportero se le dijo que las nuevas vulnerabilidades de Magento 1.x no se habían detectado en mucho tiempo. Muchos creen que los piratas informáticos están sentados en sus exploits Magento 1.x y esperando que llegue la EOL.

Dado que los ataques de descremado world-wide-web son más comunes que nunca, los firewalls son solo una solución temporal, y los propietarios de tiendas probablemente tendrán que considerar seriamente actualizar sus sitios, a pesar de la interrupción temporal y el tiempo de inactividad que esto implica.



Enlace a la noticia unique