Neu Angriff auf JTL-Shop 3 & 4 vom 23.11.2017 (am 4.12. veröffentlicht)

Mark Schuepstuhl

Moderator
Mitarbeiter
27. April 2016
43
45
Die folgende Information wurde am 4.12. an JTL- Shop-Kunden gesendet:

Hallo liebe Kunden,

wie wir unseren JTL-Shop-Kunden bereits am Freitag, den 24.11. mitteilten, fand in der vorletzten Woche ein gezielter Angriff auf einen einzelnen JTL-Shop statt. Der Betroffene informierte uns umgehend, sodass wir gemeinsam Gegenmaßnahmen ergreifen konnten. Noch am folgenden Tag konnten wir allen JTL-Shop-Kunden einen Hotfix für die genutzte Lücke in der Shopsoftware liefern.

Hintergründe der Tat
Allem Anschein nach handelte es sich bei dem Angriff um einen gezielten Versuch, Zugang auf die Datenbank des JTL-Shops zu erlangen. Den Angreifern gelang es, die E-Mail-Adressen und Teile der Adressdaten der Käufer auszulesen. In Folge erhielten die betroffenen Käufer eine Mail mit dem Hinweis, dass der Betreiber trotz Hinweis versäumt hat, die gefundene Schwachstelle zu schließen. Nach Rücksprache mit dem Betreiber zeigte sich jedoch, dass es eine solche Information nie gegeben hat. Hintergrund des Angriffs, so vermuten wir, bilden mögliche finanzielle Interessen der Angreifer.

Da es sich bei diesem Eindringen in die Software um einen Straftatbestand handelt, wurde die Polizei hinzugezogen und rechtliche Schritte eingeleitet. Bitte verstehen Sie, dass wir aufgrund der laufenden Ermittlungen keine konkreteren Details zum Ablauf der Tat geben können.

Folgen des Angriffs
Wir können jedoch mitteilen, dass nach unserem Kenntnisstand, abgesehen von der Verletzung der Datensicherheit, kein weiterer Schaden auf Seite der Käufer entstanden ist. Wir haben umgehend nach der Information durch den Betreiber reagiert und die mögliche Schwachstelle in der Software geschlossen. Sollten Sie die von uns zur Verfügung gestellten Hotfixes bislang nicht aufgespielt haben, empfehlen wir, dies so zeitnah wie möglich nachzuholen. Die Dateien sowie die von uns angeratene Vorgehensweise finden Sie hier:

Newsletter Hotfix für JTL-Shop 3 & 4

Außerdem gehen wir davon aus, dass sich die Zahl der Betroffenen auf die Kunden des Shopbetreibers beschränkt. Diese wurden bereits von ihm informiert.

Zusätzlich haben wir in der vergangenen Woche weitere Sicherheitsupdates für JTL-Shop 4.05.5 und 4.06.2 veröffentlicht. Diese sind unabhängig vom Angriff des 23.11. und dienen der präventiven Sicherheitsverbesserung an anderen Stellen der Shopsoftware. Ältere JTL-Shop-Versionen sind hiervon nicht betroffen.

Wir ziehen Konsequenzen
Der Angriff zeigt uns, dass wir auch in Zukunft in unseren Bemühungen um die Sicherheit von JTL-Produkten nicht nachlassen dürfen. Neben internen Sicherheitstests und geschultem Personal nutzt JTL-Software externe Security Audits, um stets bestmögliche Vorkehrungen gegen Exploits und Angriffe von außen zu treffen. Auch in Zukunft werden wir unsere Berater JTL-Produkte gezielt auf potenzielle Angriffsflächen prüfen lassen, um sie noch besser zu schützen. Wir bitten um Ihr Verständnis, dass trotz dieser Anstrengungen keine Software als 100 Prozent sicher gelten kann, wir uns in einem Schadensfall jedoch schnellstmöglich um eine Lösung des Problems kümmern.

Abschließend bitten wir Sie, die durch diesen Angriff entstandenen Unannehmlichkeiten zu entschuldigen. Seien Sie versichert, dass wir den Vorfall ernst nehmen und uns auch um langfristige Vorkehrungen bemühen.

Mit freundlichen Grüßen

Thomas Lisson
Geschäftsführer, JTL-Software

Link zum ursprünglichen Newsletter
 
  • Gefällt mir
Reaktionen: Pool-Total
Ähnliche Themen
Titel Forum Antworten Datum
Neu Dringend: USA DHL Versand Umstellung ab 24.07. auf HTSUS Zolltarifnummern JTL-ShippingLabels - Ideen, Lob und Kritik 6
Neu Update auf 5.7.2 - kein DB Update Installation / Updates von JTL-Shop 10
Neu Feld "Informationen" auf Smartphone immer ausklappen Allgemeine Fragen zu JTL-Shop 2
Neu Update von 1.8.12.4 auf 2.0.5 - Kostenfreie Version - Registrierung erforderlich? User helfen Usern - Fragen zu JTL-Wawi 1
JTL Update auf 1.9 , danach Import Kundenspezifrische Preise velerhaft JTL-Wawi 1.9 0
Neu Rechte-Fehler im J10n Modul und Auswirkung auf base.mo.php in div. Plugins (Shop 5.7.1) JTL-Shop - Fehler und Bugs 0
nach Update von 5.3 auf 5.7 neue Position im Warenkorb "Gebühr" die auch in den Auftrag übernommen werden Einrichtung JTL-Shop5 2
Beantwortet Shop Abgleich nach Update auf 5.7.2 nicht mehr möglich JTL-Shop - Fehler und Bugs 4
Neu Amazon: Artikel-Highlight / Produkttitel auf 75 Zeichen begrenzt Amazon-Anbindung - Fehler und Bugs 8
Neu Produktionsaufträge tauchen nicht in der Workbench auf JTL-Plan&Produce - Fehler und Bugs 2
Bei Update auf 2.05 kam folgende Meldung JTL-Wawi 2.0 2
Ameise - Importvorlage auf 80 Spalten begrenzt? JTL-Wawi 2.0 0
Login Wawi nicht möglich nach Update auf 1.11.11 JTL-Wawi 1.11 1
Neu Anpassung Kundendaten auf XRechnung User helfen Usern - Fragen zu JTL-Wawi 4
Neu Absenderadresse auf Versandlabel ändern User helfen Usern - Fragen zu JTL-Wawi 1
Ameise (1.11.11.0) Export auf Clients nicht möglich - Das Dezimaltrennzeichen kann nicht die leere Zeichenfolge sein JTL-Wawi 1.11 5
Neu Hinweis zum Auftrag wird seit Update auf die 1.11 nicht mehr angezeigt JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
Neu Umstellung auf Jera Datev Schnittstelle - keine Kundennummer im Kundencenter Schnittstellen Import / Export 2
JTL APP - Fehlermeldung nach Update auf Wawi 1.11. JTL-Wawi App 6
JTL Wawi 1.11. - Fenstergröße - Artikel auf Einkaufsliste setzen JTL-Wawi 1.11 13
Nach Update auf 2.0.3 Keine Fehlermeldungen mehr sichtbar Otto.de - Anbindung (SCX) 1
DPD Cloud Labeldruck auf Zebra LP 2844-Z seit Update auf JTL-Wawi 1.11.x fehlerhaft JTL-Wawi 1.11 3
JTL nach Update auf 2.0.3 im Bereich „Kunden“ extrem langsam JTL-Wawi 2.0 1
Neu DotLiquide Variable Voraussichtliches Lieferdatum auf Rechnung User helfen Usern - Fragen zu JTL-Wawi 1
Neu Betrag auf der Rechnung nach Rechnungskorrektur User helfen Usern - Fragen zu JTL-Wawi 1
Fehler nach Update auf Version 1.11.11 und 2.0.4 JTL-Wawi 2.0 7
Lohnt sich das Update von 1.11.6 auf 2.0.4 aktuell? JTL-Wawi 2.0 2
Neu DHL Versenden 4.0 Zolltarifnummer auf 8 Stellen kürzen User helfen Usern - Fragen zu JTL-Wawi 1
Neu Internetmarke 2.0 - Direktdruck auf Umschlag JTL-ShippingLabels - Ideen, Lob und Kritik 3
Update auf 1.11.11 schlägt fehl JTL-Wawi 1.11 3
Neu Update Version 1.5 auf 1.11 - Download älterer Versionen als 1.8 Installation von JTL-Wawi 2
Neu Shop-Update auf 5.7.1: Sprachvariablen im Widerrufsformular werden nicht erkannt, obwohl vorhanden?! JTL-Shop - Fehler und Bugs 3
Erfahrungswerte Update von 1.8.12.2 auf 1.11.10 JTL-Wawi 1.11 4
Neu Umzug von sehr alter JTL Wawi Version auf neuen PC User helfen Usern - Fragen zu JTL-Wawi 3
Neu Rechnungskorrektur/Storno wird auf falsches Buchungskonto gebucht JTL-Wawi - Fehler und Bugs 1
Neu Umstellung auf DHL Versenden 4.0 leeres Versand Label JTL-ShippingLabels - Ideen, Lob und Kritik 5
Neu Angebotsname auf Amazon Amazon-Anbindung - Ideen, Lob und Kritik 0
Neu Konfigurationskomponenten auf Bons in separaten Positionen ausgeben JTL-POS - Fehler und Bugs 4
Neu Nach Update auf 1.11.10.0 Abgleich zu Ebay über 3 Stunden bei neuen Angeboten eBay-Anbindung - Fehler und Bugs 2
Beantwortet [WAWI-85758] Nach Update auf 1.11.10 klappt stornieren über ios Wawi App nicht mehr JTL-Workflows - Fehler und Bugs 1
Neu Suche Workflow: Erstbestellung Shop auf Rechnung -> Auftrag Zurückhalten JTL-Wawi - Ideen, Lob und Kritik 1
Dashboard lädt nicht und Umsatzanzeige rechnet falsch seit Update auf 1.11.8 JTL-Wawi 1.11 8
Neu PayPal Plugin wirft Fehler auf einmal wegen telefonnummer JTL-Shop - Fehler und Bugs 3
Update von 1.10.15 auf 1.11.10 JTL-Wawi 1.11 11
Neu Falsch erzeugte Ausgangszahlung bei Teilzahlungen und Retoure (Kauf auf Rechnung) Arbeitsabläufe in JTL-Wawi 0
Neu Nach Update auf JTL-Wawi 2.0.3 keine WMS-Lager mehr auswählbar – Versand komplett blockiert JTL-Wawi 2.0 3
Update auf 1.11 verlangt ein Update auf aktuelleren SQL Server JTL-Wawi 1.11 7
Betreff: Umstellung Shipping 3 auf Shipping 4 nicht möglich JTL-Wawi 2.0 0
Neu Migration DHL Versenden 3.0 auf DHL Versenden 4.0 Dienstleistung, Jobs und Ähnliches 31
Zugriff verweigert nach Umzug auf neuen Rechner, X-Rechnung kann nicht gespeichert werden JTL-Wawi 1.11 4

Ähnliche Themen