24/7-Support
FAQ
 Dashboard
Kontoguthaben:    
WooCommerce-Plugins als Datendiebe: Was hinter der FunnelKit-Schwachstelle steckt

WooCommerce-Plugins als Datendiebe: Was hinter der FunnelKit-Schwachstelle steckt

Mai 18, 2026 woocommerce security plugin vulnerabilities payment data protection e-commerce compliance gdpr web hosting security checkout security credit card fraud prevention

Der stille Diebstahl an der Kasse

Stell dir vor, ein Einbrecher schleicht sich nicht durchs Fenster oder bricht Türen auf. Er nutzt stattdessen eine unauffällige Tür, die einfach offen steht. Während Kunden ihre Kreditkartendaten eingeben, sammelt er die Informationen unbemerkt. Kein Alarm, keine Spuren – bis Sicherheitsforscher die Sache aufdecken.

Genau das passierte auf mehr als 40.000 WooCommerce-Shops, die eine anfällige Version des FunnelKit-Plugins nutzten.

Zwischen der Entdeckung der Sicherheitslücke und dem Patch im Mai 2026 haben Angreifer live sensible Zahlungsdaten abgeschöpft. Kreditkartennummern, CVV-Codes, Rechnungsadressen und weitere Kundendaten wurden während des Checkout-Prozesses still und leise erfasst. Weder Kunden noch Shop-Betreiber haben etwas bemerkt.

So funktioniert der Angriff – und warum er so tückisch war

Der Code versteckte sich als normales Tracking-Skript. Für den Betreiber sah alles normal aus. Die Kunden erlebten einen gewohnten Checkout. Doch in der Hintergrund der Code erfasste jede Eingabe in den Zahlungsfeldern und schickte die Daten an Server unter fremder Kontrolle.

Herkömmliche Sicherheitschecks haben diese Art von Angriff meist nicht erkannt. Da der Zugriff auf Zahlungsdaten erfolgte, betraf der Vorfall gleichzeitig so viele Shops und so viele Kunden gleichzeitig.

Wie weit reichte die Bedrohung

Zwischen 40.000 und mehreren zehntausend WooCommerce-Shops waren betroffen. Jede ungeschützte Transaktion während dieser Zeit konnte zu einem Datenabfluss führen. Alle Versionen vor 3.15.0.3 waren verwundbar.

Wer in der kritischen Periode Kreditkartenzahlungen angenommen und FunnelKit noch nicht auf den neuesten Stand gebracht hatte, muss davon ausgehen, dass die Daten seiner Kunden gezielt abgefangen wurden.

Die rechtlichen Folgen

GDPR macht keine Ausnahme für Plugin-Entwickler. Wer in der EU tätig ist oder europäische Kunden bedient, hat Pflichten gegenüber der Behörde und den Kunden.

Das bedeutet konkret: Kunden informieren, den Vorfall dokumentieren, mögliche Bußgelder in Kauf nehmen und Reputation sowie Vertrauen wiederherstellen. Entsprechend auch die Beachtung anderer Gesetz<|eos|>

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DA ZH-HANS EN