Geekly articles weekly

Venta sin errores: seguridad digital de plataformas de comercio electrónico


En este artículo hablaremos sobre la seguridad minorista. Nos centraremos principalmente en las tiendas en línea, compras en las que hace tiempo que son habituales, pero también prestaremos un poco de atención a las tiendas fuera de línea.


Realizamos una encuesta a representantes del sector minorista y descubrimos qué amenazas de seguridad consideran más graves y de qué ataques deberíamos esperar las mayores pérdidas.


Los resultados de la encuesta mostraron que la mayor preocupación es la fuga de datos personales de los clientes. Y hay muchas razones para esto. La legislación rusa está cambiando hacia una responsabilidad más dura en esta área. Pero de ninguna manera los atacantes siempre están interesados ​​en datos personales como el nombre, la dirección del hogar y el hash de contraseña de la cuenta. Mucho más atractivo son los datos de las tarjetas bancarias que se pueden poner en el negocio sin salir de la caja.


Las tiendas en línea no solo son una fuente de información de la tarjeta bancaria del cliente, sino también un lugar donde los estafadores pueden utilizar los datos comprados en el mercado negro para realizar compras. Lo más probable es que esto no conduzca a pérdidas financieras, pero será difícil evitar la reputación. Por lo tanto, algunos sitios se niegan a trabajar en países donde florece el delito cibernético.


También puede haber una fuga de datos relacionados con las finanzas y otra información confidencial sobre las actividades de la tienda. En este caso, las consecuencias de la fuga y el tamaño de las pérdidas dependen de quién tenga acceso a los datos y cómo se utilizarán.



Existen varios tipos de ataques, especialmente peligrosos para las tiendas en línea. Todos los encuestados temen la posibilidad de acceso no autorizado a cuentas de usuarios y empleados. Más terrible que esto es solo el acceso no autorizado a los paneles de administración. A través de estas cuentas, puede acceder a bases de datos, administrar precios, promociones, etc. No es difícil imaginar las consecuencias de tal escenario.


El software utilizado en las tiendas en línea está lleno de vulnerabilidades, como cualquier otro, también plantea las preocupaciones de los minoristas. Las inyecciones de SQL en las bases de datos, la posibilidad de ataques XSS y CSRF en sitios y otras vulnerabilidades peligrosas pueden usarse para infiltrarse en la red corporativa y robar datos. No sin razón causa preocupación sobre el grado de seguridad de los servidores en la nube utilizados. Estos son algunos ejemplos de vulnerabilidades del servidor de Amazon. El uso de soluciones en la nube en sí mismo significa total confianza en un tercero.


La mayoría de los minoristas temen las pérdidas de reputación de las acciones cómicas de los piratas informáticos, como publicar imágenes divertidas en el sitio.


La mayoría de los minoristas no temen los ataques DDoS. Sin embargo, un estudio de Digital Security demostró que no todas las protecciones DDoS son efectivas.


Un peligro separado son las promociones. Como son "temporales", no reciben suficiente atención. La lógica de su trabajo no se prueba, y puede encontrar una manera de manipularla. Una situación similar con las tarjetas de bonificación: al usar errores en el código, puede aumentar su saldo de bonificación hasta el infinito.


Ahora damos ejemplos de casos de explotación de vulnerabilidades en tiendas en línea.


Por ejemplo , en el sitio web de la tienda en línea Magneto , las vistas previas de video se descargan mediante una solicitud POST con la URL de la imagen en sí. Un atacante puede cambiar esta solicitud a una solicitud GET, donde en lugar de la URL puede haber cualquier código malicioso que se ejecute en el sitio web de la tienda en línea.


Un investigador de Digital Security descubrió una vulnerabilidad que le permite acumular un número infinito de puntos que se pueden pagar hasta el 100% del precio de compra. Esto es posible debido al procesamiento incorrecto de la información recibida por el servidor, y para aprovechar esta vulnerabilidad no necesita ninguna habilidad especial.


Más recientemente, las fuentes de software de Aeroflot se han filtrado. Entre ellos, puede encontrar piezas de código que son responsables de los certificados de regalo y la generación de bonos, y, por supuesto, usar esto para su ventaja.


Puede manipular no solo el dinero virtual, sino también los precios de los bienes. ¿Comprar un teléfono inteligente por el precio de un bolígrafo? Esto es posible si los valores de los precios se almacenan donde es fácil acceder y cambiarlos. Por ejemplo , puede cambiar el precio de una suscripción enviando una solicitud HTTP falsa.


Uno de los representantes del comercio minorista nos contó cómo se realizó una campaña en su cadena de tiendas en la que los clientes recibieron un descuento igual a la temperatura fuera de la ventana. Todo estaría bien, pero Rusia es un país grande, y cuando en San Petersburgo era solo +10, en Krasnodar era +35. Esto es lo que usaban los compradores al ordenar productos con entrega gratuita desde las ciudades del sur. En esta situación, incluso "romper" no tenía que hacerlo. Las reglas mal concebidas de la promoción son obvias. Fue suficiente para limitar el alcance de la entrega o incluso hacer que la entrega fuera inaccesible al usar esta promoción.


Todos conocen la promoción "compre dos productos y obtenga la tercera gratis". Se entiende que el producto más barato en el pedido será gratuito. Sin embargo, como resultado de ciertas manipulaciones, los compradores de una tienda en línea pudieron comprar tres bolígrafos y tres teléfonos inteligentes, pagando solo por bolígrafos y un teléfono inteligente.



Otro punto débil son los empleados de la empresa. Pueden abusar de sus poderes o encontrar una manera de obtener acceso a las bases de datos de los usuarios, información privilegiada que constituye un secreto comercial, etc. Los empleados son una de las fuentes de datos que caen en los mercados negros.


Los comerciantes son un gran riesgo de seguridad en las tiendas fuera de línea, ya que a menudo se convierten en objetos de ingeniería social. Olvidan las contraseñas con las contraseñas de las cuentas en los monitores en los pisos de negociación y no salen de las cuentas, dejando la pantalla desbloqueada.


Que hacer


Existen muchas medidas de seguridad que pueden ayudar a prevenir las situaciones descritas anteriormente, o al menos reducir el daño de las acciones de los atacantes. Entre ellos cabe destacar:


  • prueba de todos los componentes del sitio web de la tienda en línea;
  • realización de auditorías de seguridad periódicas;
  • monitoreo continuo de la actividad del sitio;
  • el uso de herramientas técnicas como WAF y protección contra ataques DDoS;
  • el uso del principio de privilegios mínimos para los usuarios (esto incluye compradores, empleados de la tienda en línea y administradores);
  • filtrar la información ingresada por los usuarios en formularios;
  • autenticación de dos factores del cliente a la entrada de su cuenta personal;
  • capacitar a los empleados de la tienda en línea y fuera de línea sobre cómo contrarrestar la ingeniería social.

Source: https://habr.com/ru/post/es425015/

More articles:


All Articles