如果您曾经在Magento官方市场上注册过一个帐户来购买或出售任何扩展,插件或电子商务网站主题,则必须立即更改密码。
拥有Magento电子商务平台的公司Adobe今天披露了一项新的数据泄露事件,该事件使Magento市场用户的帐户信息暴露给了一群未知的黑客或个人。
据该公司称,黑客利用了其市场网站上一个未公开的漏洞,该漏洞使他得以未经授权的第三方访问注册用户的数据库,包括客户(买方)和开发人员(卖方)。
泄漏的数据库包括受影响的用户的姓名,电子邮件地址,MageID,账单和送货地址信息以及一些有限的商业信息。
尽管Adobe没有透露或可能不知道Magento市场何时受到破坏,但该公司确实确认其安全团队于11月21日发现了这一漏洞。
除此之外,该公司还向黑客保证,黑客无法破坏Magento的核心产品和服务,这表明,无法访问Marketplace上托管的主题和插件来添加任何后门或恶意代码,并且可以安全下载。
“ 11月21日,我们意识到与Magento Marketplace相关的漏洞。我们暂时关闭了Magento Marketplace以解决此问题。该Marketplace重新上线。此问题并未影响任何Magento核心产品或服务的运行” ,Adobe商务产品和平台副总裁Jason Woosley 说。
虽然该公司也没有透露受影响用户和开发人员的总数,但它已经开始通过电子邮件通知受影响的客户。
尽管Adobe并未明确提及帐户密码也已泄露,但仍建议用户更改该密码,并在您使用相同密码的任何其他网站上进行更改。
如何保护您的网站免受攻击
网站安全是一个巨大的话题,每天都有新的攻击媒介,漏洞和工具出现。有时,跟上最新的网站安全需求似乎是一项不可克服的任务。
但是有个好消息:如果您是小型企业(没有专门的安全团队),则可以通过实施一些最佳实践来抵御最常见的攻击:
- 随处使用HTTPS。确保您站点上的每个URL(包括用于Webmail,控制面板访问等的子域)都使用HTTPS,而不是HTTP。
- 更新,更新,更新。虔诚地更新你的网站的软件,以确保你有最新的安全补丁,以抵御最近发现的漏洞。
- 使用托管的Web应用程序防火墙。Web应用程序防火墙,或WAF,使用一组跟上时代的规则来识别和阻止恶意流量。它可以阻止DDoS攻击,以及诸如SQL注入等常见攻击。
- 定期备份。定期备份您的网站(并将备份存储在异地)意味着灾难发生时您已经做好了准备。如果您的网站最近有备份,则可以在勒索软件或其他攻击后迅速恢复服务。
- 扫描和监控。如果您的网站存在安全问题,您想成为第一个知道的人。这就是为什么对恶意软件,漏洞或其他问题进行每日扫描很重要的原因。俗话说,防范胜于未然。
如何防御网络钓鱼攻击
随着在短短一年内钓鱼攻击达269% ,他们是每一个企业的一个关键问题。网络钓鱼攻击是一种社会工程手段,与其说是通过技术防御,不如说是在欺骗用户。
这意味着您需要采用不同的方法来防御这些攻击,您不能仅依靠技术防御。
您可以通过以下四种可靠的方法来保护您的组织免受网络钓鱼攻击:
- 打开您的垃圾邮件过滤器。确保您已打开垃圾邮件过滤器并针对所有员工的收件箱进行了优化。这将在网络钓鱼电子邮件被发现之前捕获它们。
- 使用SPF,DKIM和DMARC。这些协议用于帮助您的系统检测和标记(或阻止)来自欺骗域的电子邮件。它们对于捕获看起来像来自您自己公司域的网络钓鱼电子邮件特别有用。
- 实施电子邮件签名证书。除了为敏感数据启用加密之外,电子邮件签名证书还使您的员工更容易验证电子邮件是否确实来自“发件人”字段中显示的地址。电子邮件证书对于对抗鱼叉式攻击特别有用。
- 培训所有员工。最后但并非最不重要的一点是,实施一项计划来培训所有员工识别并正确处理网络钓鱼电子邮件。确保您的培训包括显示网络钓鱼电子邮件的示例,以便员工知道要查找的内容。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
