Geekly articles weekly

Verkauf ohne Fehler: Digitale Sicherheit von E-Commerce-Plattformen


In diesem Artikel werden wir über die Sicherheit im Einzelhandel sprechen. Wir werden uns hauptsächlich auf Online-Shops konzentrieren, Einkäufe, die seit langem üblich sind, aber wir werden auch ein wenig auf Offline-Shops achten.


Wir haben eine Umfrage unter Vertretern des Einzelhandels durchgeführt und herausgefunden, welche Sicherheitsbedrohungen sie als am schwerwiegendsten betrachten und von welchen Angriffen wir die größten Verluste erwarten sollten.


Die Ergebnisse der Umfrage zeigten, dass die größte Sorge das Auslaufen personenbezogener Daten von Kunden ist. Und dafür gibt es jeden Grund. Die russische Gesetzgebung ändert sich in Richtung einer verschärften Haftung in diesem Bereich. Angreifer sind jedoch keineswegs immer an persönlichen Daten wie Name, Privatadresse und Passwort-Hash aus dem Konto interessiert. Viel attraktiver sind die Daten von Bankkarten, die ohne Verlassen der Kasse in Betrieb genommen werden können.


Online-Shops sind nicht nur eine Quelle für Kundenkarteninformationen, sondern auch ein Ort, an dem Betrüger auf dem Schwarzmarkt gekaufte Daten für Einkäufe verwenden können. Dies wird höchstwahrscheinlich nicht zu finanziellen Verlusten führen, aber es wird schwierig sein, einen guten Ruf zu vermeiden. Daher weigern sich einige Standorte, in Ländern zu arbeiten, in denen Cyberkriminalität floriert.


Es kann auch zu Datenlecks in Bezug auf Finanzen und andere vertrauliche Informationen über die Aktivitäten des Geschäfts kommen. In diesem Fall hängen die Folgen des Lecks und die Größe der Verluste davon ab, wer Zugriff auf die Daten erhält und wie diese verwendet werden.



Es gibt verschiedene Arten von Angriffen, die für Online-Shops besonders gefährlich sind. Alle Befragten befürchten den unbefugten Zugriff auf Benutzer- und Mitarbeiterkonten. Schrecklicher als dies ist nur der unbefugte Zugriff auf Admin-Panels. Über diese Konten können Sie auf Datenbanken zugreifen, Preise, Werbeaktionen usw. verwalten. Die Folgen eines solchen Szenarios sind nicht schwer vorstellbar.


Die in Online-Shops verwendete Software ist wie jede andere voller Schwachstellen und wirft auch die Bedenken der Einzelhändler auf. SQL-Injektionen in Datenbanken, die Möglichkeit von XSS- und CSRF-Angriffen auf Websites und andere gefährliche Sicherheitslücken können verwendet werden, um das Unternehmensnetzwerk zu infiltrieren und Daten zu stehlen. Nicht ohne Grund gibt es Bedenken hinsichtlich des Sicherheitsgrades der verwendeten Cloud-Server. Hier sind einige Beispiele für Sicherheitslücken bei Amazon-Servern. Die Verwendung von Cloud-Lösungen an sich bedeutet völliges Vertrauen in Dritte.


Am allerwenigsten haben Einzelhändler Angst vor Reputationsverlusten durch Comic-Aktionen von Hackern, wie das Posten lustiger Bilder auf der Website.


Die meisten Einzelhändler haben keine Angst vor DDoS-Angriffen. Eine Studie von Digital Security hat jedoch gezeigt, dass nicht alle DDoS-Schutzmaßnahmen wirksam sind.


Eine separate Gefahr sind Werbeaktionen. Da sie "vorübergehend" sind, erhalten sie nicht genügend Aufmerksamkeit. Die Logik ihrer Arbeit wird nicht getestet, und Sie können einen Weg finden, sie zu manipulieren. Ähnliches gilt für Bonuskarten: Mit Fehlern im Code können Sie Ihr Bonusguthaben auf unendlich erhöhen.


Jetzt geben wir Beispiele für Fälle der Ausnutzung von Sicherheitslücken in Online-Shops.


Auf der Website des Magneto- Onlineshops werden beispielsweise Videovorschauen über eine POST-Anfrage mit der URL des Bildes selbst heruntergeladen. Diese Anfrage kann von einem Angreifer in eine GET-Anfrage geändert werden, wobei anstelle der URL schädlicher Code auf der Website des Online-Shops angezeigt werden kann.


Ein Forscher von Digital Security hat eine Sicherheitsanfälligkeit entdeckt, mit der Sie unendlich viele Punkte sammeln können, die bis zu 100% des Kaufpreises ausgezahlt werden können. Dies ist aufgrund einer fehlerhaften Verarbeitung der vom Server empfangenen Informationen möglich. Um diese Sicherheitsanfälligkeit auszunutzen, benötigen Sie keine besonderen Fähigkeiten.


In jüngerer Zeit sind Aeroflot-Softwarequellen durchgesickert. Unter ihnen finden Sie Codeteile, die für Geschenkgutscheine und die Generierung von Boni verantwortlich sind, und diese natürlich zu Ihrem Vorteil nutzen.


Sie können nicht nur virtuelles Geld manipulieren, sondern auch die Preise von Waren. Ein Smartphone zum Preis eines Stifts kaufen? Dies ist möglich, wenn Preiswerte dort gespeichert werden, wo sie leicht zugänglich sind und geändert werden können. Sie können beispielsweise den Preis eines Abonnements ändern, indem Sie eine gefälschte HTTP-Anfrage senden.


Einer der Vertreter des Einzelhandels erzählte uns, wie in seiner Ladenkette eine Kampagne durchgeführt wurde, bei der Kunden einen Rabatt in Höhe der Außentemperatur erhielten. Alles wäre gut, aber Russland ist ein großes Land, und als es in St. Petersburg nur +10 war, war es in Krasnodar +35. Dies ist, was Käufer verwendeten, wenn sie Waren mit kostenlosem Versand aus südlichen Städten bestellten. In dieser Situation musste nicht einmal „brechen“. Die schlecht durchdachten Regeln der Beförderung liegen auf der Hand. Es genügte, den Lieferumfang einzuschränken oder die Lieferung bei Verwendung dieser Aktion sogar unzugänglich zu machen.


Jeder kennt die Aktion „Kaufen Sie zwei Waren und erhalten Sie die dritte gratis“. Es versteht sich, dass das billigste Produkt auf Bestellung kostenlos ist. Aufgrund bestimmter Manipulationen konnten Käufer eines Online-Shops jedoch drei Stifte und drei Smartphones kaufen und nur für Stifte und ein Smartphone bezahlen.



Eine weitere Schwachstelle sind die Mitarbeiter des Unternehmens. Sie können ihre Befugnisse missbrauchen oder einen Weg finden, um Zugang zu Benutzerdatenbanken, Insiderinformationen, die ein Geschäftsgeheimnis darstellen, usw. zu erhalten. Mitarbeiter sind eine der Datenquellen, die in Schwarzmärkte fallen.


Händler stellen ein großes Sicherheitsrisiko in Offline-Geschäften dar, da sie häufig zu Objekten des Social Engineering werden. Sie vergessen die Passwörter mit den Passwörtern von den Konten auf den Monitoren in den Handelsetagen und verlassen die Konten nicht, wodurch der Bildschirm entsperrt bleibt.


Was zu tun ist?


Es gibt viele Sicherheitsmaßnahmen, die dazu beitragen können, die oben beschriebenen Situationen zu verhindern oder zumindest den Schaden durch die Aktionen von Angreifern zu verringern. Unter ihnen ist es hervorzuheben:


  • Testen aller Komponenten der Online-Shop-Website;
  • Durchführung regelmäßiger Sicherheitsüberprüfungen;
  • kontinuierliche Überwachung der Standortaktivität;
  • den Einsatz technischer Tools wie WAF und den Schutz vor DDoS-Angriffen;
  • die Anwendung des Grundsatzes der Mindestprivilegien für Benutzer (dies schließt Käufer, Mitarbeiter des Online-Shops und Administratoren ein);
  • Filtern von Informationen, die von Benutzern in Formularen eingegeben wurden;
  • Zwei-Faktor-Kundenauthentifizierung am Eingang Ihres persönlichen Kontos;
  • Schulung von Online- und Offline-Mitarbeitern im Umgang mit Social Engineering.

Source: https://habr.com/ru/post/de425015/

More articles:


All Articles