逾4千家线上商店没修补Magento已知漏洞，导致客户刷卡资料曝光

英国的国家网络安全中心（National Cyber Security Centre，NCSC）本周表示，已有4,151家的线上商店遭到骇客入侵，骇客于这些网站的结账页面植入了侧录程式，盗走网站客户的刷卡资料，因而在感恩节购物季的前夕，提醒全球线上商店要多加注意。

NCSC表示，他们在今年9月底至少确认有4,151家线上商店遭到入侵，其中绝大多数的攻击行动是透过Magento系统的已知漏洞，该中心亦已通知受害网站。

Magento为一以PHP撰写的开源电子商务平台，已于2018年以16.8亿美元出售给Adobe。根据Cloudways的统计，Magento现为全球第三大的电子商务平台，市占率为9%，落后WooCommerce的30%及Shopify的18%。

值得注意的是，NCSC说法代表除了Magento用户之外，也有使用其它平台的线上商店被植入侧录程式，因而呼吁所有的线上商店都应确保所使用的系统是最新的。

线上商店的客户刷卡资料遭盗除了可能会造成客户的财务损失，或是让客户个资沦落黑市之外，也将危及商家的声誉，而在感恩节过后，紧接而来的就是圣诞节的年底购物季，购物网站也应趁早检查自家系统的安全性。