Geekly articles weekly

Vendre sans bugs: sécurité numérique des plateformes de commerce électronique


Dans cet article, nous parlerons de la sécurité des détaillants. Nous nous concentrerons principalement sur les magasins en ligne, dont les achats sont depuis longtemps monnaie courante, mais nous accorderons également une petite attention aux magasins hors ligne.


Nous avons mené une enquête auprès des représentants du secteur de la vente au détail et avons découvert quelles menaces pour la sécurité ils considèrent comme les plus graves et de quelles attaques nous devrions nous attendre aux pertes les plus importantes.


Les résultats de l'enquête ont montré que la plus grande préoccupation est la fuite des données personnelles des clients. Et il y a tout pour cela. La législation russe évolue vers une responsabilité plus stricte dans ce domaine. Mais les attaquants ne sont en aucun cas toujours intéressés par les données personnelles telles que le nom, l'adresse personnelle et le hachage du mot de passe du compte. Beaucoup plus attrayantes sont les données des cartes bancaires qui peuvent être mises en activité sans quitter la caisse.


Les magasins en ligne ne sont pas seulement une source de données sur les cartes bancaires des clients, mais aussi un endroit où les données achetées sur le marché noir peuvent être utilisées par les escrocs pour effectuer des achats. Très probablement, cela n'entraînera pas de pertes financières, mais il sera difficile d'éviter la réputation. Par conséquent, certains sites refusent de travailler dans des pays où la cybercriminalité prospère.


Il peut également y avoir une fuite de données liées aux finances et à d'autres informations confidentielles sur le magasin. Dans ce cas, les conséquences de la fuite et l'ampleur des pertes dépendent de qui a accès aux données et de la façon dont elles seront utilisées.



Il existe plusieurs types d'attaques, particulièrement dangereuses pour les boutiques en ligne. Tous les répondants craignent la possibilité d'un accès non autorisé aux comptes d'utilisateurs et d'employés. Plus terrible que cela n'est que l'accès non autorisé aux panneaux d'administration. Grâce à ces comptes, vous pouvez accéder aux bases de données, gérer les prix, les promotions, etc. Il n'est pas difficile d'imaginer les conséquences d'un tel scénario.


Le logiciel utilisé dans les boutiques en ligne regorge de vulnérabilités, comme les autres, il soulève également les inquiétudes des commerçants. Les injections SQL dans les bases de données, la possibilité d'attaques XSS et CSRF sur les sites et d'autres vulnérabilités dangereuses peuvent être utilisées pour infiltrer le réseau d'entreprise et voler des données. Ce n'est pas sans raison que l'on s'inquiète du degré de sécurité des serveurs cloud utilisés. Voici quelques exemples de vulnérabilités du serveur Amazon. L'utilisation de solutions cloud signifie en soi une confiance totale en un tiers.


Le moins de tous les détaillants ont peur des pertes de réputation dues aux actions comiques des pirates, telles que la publication d'images drôles sur le site.


La plupart des détaillants n'ont pas peur des attaques DDoS. Cependant, une étude de Digital Security a montré que toutes les protections DDoS ne sont pas efficaces.


Les promotions sont un danger distinct. Puisqu'ils sont "temporaires", ils ne reçoivent pas assez d'attention. La logique de leur travail n'est pas testée et vous pouvez trouver un moyen de le manipuler. Une situation similaire avec les cartes bonus: en utilisant des erreurs dans le code, vous pouvez augmenter votre solde de bonus à l'infini.


Nous donnons maintenant des exemples de cas d'exploitation de vulnérabilités dans des magasins en ligne.


Par exemple , sur le site Web de la boutique en ligne Magneto , les aperçus vidéo sont téléchargés via une demande POST avec l'URL de l'image elle-même. Cette demande peut être modifiée par un attaquant en une demande GET, où au lieu de l'URL, il peut y avoir un code malveillant qui s'exécute sur le site Web de la boutique en ligne.


Un chercheur de Digital Security a découvert une vulnérabilité qui vous permet de liquider un nombre infini de points pouvant être payés jusqu'à 100% du prix d'achat. Cela est possible en raison d'un traitement incorrect des informations reçues par le serveur, et pour exploiter cette vulnérabilité, vous n'avez pas besoin de compétences particulières.


Plus récemment, des sources de logiciels Aeroflot ont fui. Parmi eux, vous pouvez trouver des morceaux de code qui sont responsables des chèques-cadeaux et de la génération de bonus, et, bien sûr, l'utiliser à votre avantage.


Vous pouvez manipuler non seulement l'argent virtuel, mais aussi les prix des marchandises. Acheter un smartphone au prix d'un stylo? Ceci est possible si les valeurs de prix sont stockées dans un endroit facile d'accès et de modification. Par exemple , vous pouvez modifier le prix d'un abonnement en envoyant une fausse demande HTTP.


Un des représentants du commerce de détail nous a raconté comment une campagne avait été menée dans sa chaîne de magasins où les clients bénéficiaient d'une remise égale à la température extérieure à la fenêtre. Tout irait bien, mais la Russie est un grand pays, et quand à Saint-Pétersbourg c'était seulement +10, à Krasnodar c'était +35. C'est ce que les acheteurs ont utilisé lors de la commande de marchandises avec livraison gratuite dans les villes du sud. Dans cette situation, même «casser» n'était pas obligé. Les règles mal conçues de la promotion sont évidentes. Il suffisait de limiter l'étendue de la livraison ou même de rendre la livraison inaccessible lors de l'utilisation de cette promotion.


Tout le monde connaît la promotion «Achetez deux produits et obtenez le troisième gratuitement». Il est entendu que le produit le moins cher sur commande sera gratuit. Cependant, à la suite de certaines manipulations, les acheteurs d'une boutique en ligne ont pu acheter trois stylos et trois smartphones, ne payant que des stylos et un smartphone.



Un autre point faible est le personnel de l'entreprise. Ils peuvent abuser de leurs pouvoirs ou trouver un moyen d'accéder aux bases de données des utilisateurs, aux informations privilégiées constituant un secret commercial, etc. Les employés sont l'une des sources de données tombant sur les marchés noirs.


Les marchands représentent un risque de sécurité majeur dans les magasins hors ligne, car ils deviennent souvent des objets d'ingénierie sociale. Ils oublient les mots de passe avec les mots de passe des comptes sur les moniteurs des salles de marché et ne quittent pas les comptes, laissant l'écran déverrouillé.


Que faire


Il existe de nombreuses mesures de sécurité qui peuvent aider à prévenir les situations décrites ci-dessus, ou au moins à réduire les dommages causés par les actions des attaquants. Parmi eux, il convient de souligner:


  • test de tous les composants du site Web de la boutique en ligne;
  • effectuer des audits de sécurité réguliers;
  • surveillance continue de l'activité du site;
  • l'utilisation d'outils techniques comme le WAF et la protection contre les attaques DDoS;
  • l'utilisation du principe des privilèges minimaux pour les utilisateurs (cela inclut les acheteurs, les employés de la boutique en ligne et les administrateurs);
  • filtrer les informations saisies par les utilisateurs dans les formulaires;
  • authentification client à deux facteurs à l'entrée de votre compte personnel;
  • former les employés des magasins en ligne et hors ligne à la lutte contre l'ingénierie sociale.

Source: https://habr.com/ru/post/fr425015/

More articles:


All Articles