WooCommerce-плагин под подозрением: как FunnelKit мог красть данные
Скрытая кража на этапе оформления заказа
Представьте, что злоумышленник не взламывает двери и не бьёт стёкла. Он просто подключается к форме оплаты и тихо забирает данные карт. Без шума, без следов, без срабатывания тревог — пока исследователи безопасности не обнаружили проблему.
Именно так работала уязвимость в плагине FunnelKit на более чем 40 тысячах сайтов WooCommerce.
Между моментом обнаружения и выпуском исправления в мае 2026 года злоумышленники собирали данные карт в реальном времени. Номера карт, CVV, адреса и другая информация передавались на серверы атакующих без ведома владельцев магазинов и их клиентов.
Как устроена атака и почему она работает
Главная опасность этой уязвимости — в её скрытности. В вредоносном коде маскировался под обычный скрипт сбора статистики. Панель администратора выглядела нормально. Клиенты ничего не замечали.
Но в процессе заполнения формы оплаты код собира<|eos|>