[su_spacer size=»30″]Esta tarde nos hacemos eco de un email que nos acaba de llegar donde se alerta que se ha identificado una vulnerabilidad de seguridad en PrestaShop.
El email nos lo envía el propio PrestaShop y, como verás, hace especial hincapié en la importancia de tener siempre el software actualizado para prevenir la seguridad de tu tienda online.
Nosotros también somos muy pesados con el tema de las actualizaciones, pero es que son fundamentales para evitar incidencias. Por eso nuestros equipos se encargan de mantener tus softwares siempre actualizados para que no tengas que preocuparte de nada. Si estás interesado en nuestros «servicios de mantenimiento», no dudes en consultarnos llamando al 933 800 852 o al 917 482 870 o escribiendo a atencionalcliente@aelis.es.
[su_box title=»Email de PrestaShop»]
«Con el fin de mantener la calidad de nuestros servicios, le informamos que se ha identificado una vulnerabilidad de seguridad.
Es probable que esta vulnerabilidad afecte a las tiendas que no hayan llevado a cabo las últimas actualizaciones de software recomendadas.
En caso de verse afectado, le invitamos a tomar nota de los detalles de esta vulnerabilidad con el fin de solucionarla lo antes posible y tomar las medidas necesarias que usted o su Delegado de Protección de Datos consideren necesarias.
En caso de que su tienda se vea comprometida y para permitirle notificar esta violación de datos personales a la autoridad de control en la página web de la Commission Nationale de l’Informatique et des Libertés (en adelante, la «CNIL»), compartimos a continuación el curso de las investigaciones realizadas, junto con las primeras pruebas técnicas en nuestro poder.
El 19 de julio de 2022, a las 14:00 horas, varios miembros del ecosistema de PrestaShop notificaron a los empleados de PrestaShop sobre incidentes de seguridad. Unas horas más tarde, los equipos técnicos de PrestaShop confirmaron que un tercero malintencionado insertó un código malicioso («carga útil») en varias tiendas de comercio electrónico. El mismo día a las 22:00 horas, los equipos técnicos de PrestaShop pudieron comprender y reproducir el ataque y pudieron confirmar la existencia de la falla de seguridad que permitiría a un tercero malicioso insertar código malicioso en los scripts de las tiendas de comercio electrónico alojadas por PrestaShop y creadas con su solución.
La inserción de este código malicioso, que probablemente permita a este(estos) tercero(s) tomar el control de los sitios en cuestión, parece haber sido posible gracias a una «inyección SQL», junto con una falla de seguridad encontrada en los operadores de estas tiendas que no hayan realizado las últimas actualizaciones de software recomendadas por PrestaShop.
En la mañana del 20 de julio de 2022, los miembros de la unidad de crisis redactaron un informe para describir el ciberataque, sus causas y consecuencias identificadas, así como las medidas de resolución y comunicación a implementar. A la fecha se encuentra en proceso de denuncia penal y declaración ante la Agencia Nacional para la Seguridad de los Sistemas de Información.
En caso de que necesite información adicional, póngase en contacto con nosotros en nuestra dirección de correo electrónico: privacy@prestashop.com.
A todos los efectos, le recordamos que es su responsabilidad realizar las actualizaciones de software necesarias para garantizar que los sistemas permanezcan protegidos contra vulnerabilidades de seguridad.
Para obtener más información sobre «cómo funciona el ataque, qué hacer para mantener su tienda segura y cómo saber si ha sido infectado», lea el siguiente artículo: aquí
Tenga la seguridad de que haremos todo lo posible para ayudarlo a completar su proyecto.»
[/su_box]
