セキュリティ関連事項でもございますし、こちらからも回答させていただきます。

まず、2018年冬から現在までに発生している事案で、弊社（株式会社イーシーキューブ）にて把握している同様の事案はすべて2.13以前の事例でございました。（現状では3系、4系での報告はございません。）
また、その大多数が data ディレクトリやログファイルのような公開されるべきでないディレクトリやファイルが公開されていた事が起因と推定されております。
その他、公開済の脆弱性の修正漏れ、脆弱性が確認されたプラグインの更新漏れ、同居しているアプリケーションの不備やカスタマイズの不備等、それぞれに起因する事例があると思われますが、現状は特定のものが原因であるということは確認できておりません。

残念ながら、発生している事案すべてにおいて、その原因や環境などの情報が公開されるわけではないため、上記はあくまで現時点においてイーシーキューブ社が被害サイトの公開情報や、決済事業者、インテグレートパートナーなどへのヒアリングから把握できている範囲においての情報になりますので、ご了承ください。

また、国外の著名なCMSの利用サイトにおいて同様に設定の不備や過去の脆弱性などをついた攻撃事例や、最近ではクラウド型のECサービスでも発生していることからもわかるように、EC-CUBEの特定のバージョンであれば大丈夫というものでもありません。
ですので、基本的にはどのバージョンでもセキュリティに関しては注視していただく分野であることは付け加えさせていただきます。
参考） https://internet.watch.impress.co.jp/docs/news/1227863.html

まず、EC-CUBEご利用の皆様においては、オフィシャルサイトのニュース（ https://www.ec-cube.net/news/detail.php?news_id=348 ）にありますように、ご利用の状況にあわせて適切な設定や公開済みの脆弱性への対応、その他利用環境にあわせた対策が行われているかをご確認いただきたく思います。
ご自身や周辺の方で確認が難しい場合には、セキュリティ専門企業など有識者へのご依頼もご検討ください。
内容によっては有償となるケースもございますが、まずは無償で提供いただいております簡易診断からでも、御相談くださいませ。

本スレッドをご覧の方で、関連事案の情報をお持ちの方がいらっしゃいましたら、イーシーキューブ社 運営チームへ情報提供をお待ちしております。
特に緊急度が高いもの、未知の脆弱性の可能性があるものなどは、情報の混乱を避け関係者へのご迷惑にならないよう一般公開せずに、まずは以下までご連絡いただけますと幸いです。
https://www.ec-cube.net/contact/

今後も引き続き収集した情報などを元にオフィシャルサイトのニュース、メールマガジン、SNSなどで情報のアップデートを行ってまいりますので、定期的にご確認いただけますようお願い申し上げます。