इस लेख में हम खुदरा सुरक्षा के बारे में बात करेंगे। हम मुख्य रूप से ऑनलाइन स्टोर पर ध्यान केंद्रित करेंगे, जिसमें खरीदारी लंबे समय से सामान्य है, लेकिन हम ऑफलाइन स्टोर पर भी थोड़ा ध्यान देंगे।
हमने खुदरा क्षेत्र के प्रतिनिधियों का एक सर्वेक्षण किया और पता लगाया कि कौन से सुरक्षा खतरे उन्हें सबसे गंभीर मानते हैं और किन हमलों से हमें सबसे बड़े नुकसान की उम्मीद करनी चाहिए।
सर्वेक्षण के परिणामों से पता चला कि सबसे बड़ी चिंता ग्राहकों के व्यक्तिगत डेटा का रिसाव है। और इसका हर कारण है। रूसी कानून इस क्षेत्र में कठिन दायित्व के प्रति बदल रहा है। लेकिन किसी भी तरह से हमेशा हमलावर व्यक्तिगत डेटा जैसे नाम, घर का पता और पासवर्ड हैश खाते में रुचि रखते हैं। बहुत अधिक आकर्षक बैंक कार्ड का डेटा है जिसे कैश डेस्क को छोड़कर व्यापार में लगाया जा सकता है।
ऑनलाइन स्टोर न केवल ग्राहक बैंक कार्ड की जानकारी का एक स्रोत हैं, बल्कि एक ऐसी जगह भी है जहां काले बाजार में खरीदे गए डेटा का उपयोग खरीदार द्वारा खरीदारी करने के लिए किया जा सकता है। सबसे अधिक संभावना है, इससे वित्तीय नुकसान नहीं होगा, लेकिन प्रतिष्ठा से बचना मुश्किल होगा। इसलिए, कुछ साइटें उन देशों में काम करने से इनकार करती हैं जहां साइबर अपराध पनपता है।
स्टोर की गतिविधियों के बारे में वित्त और अन्य गोपनीय जानकारी से संबंधित डेटा का रिसाव भी हो सकता है। इस मामले में, रिसाव के परिणाम और नुकसान का आकार इस बात पर निर्भर करता है कि डेटा किस तक पहुंचता है और इसका उपयोग कैसे किया जाएगा।
ऑनलाइन स्टोर के लिए विशेष रूप से खतरनाक कई प्रकार के हमले हैं। सभी उत्तरदाताओं को उपयोगकर्ता और कर्मचारी खातों तक अनधिकृत पहुंच की संभावना का डर है। इससे अधिक भयानक केवल व्यवस्थापक पैनलों तक अनधिकृत पहुंच है। इन खातों के माध्यम से, आप डेटाबेस तक पहुंच सकते हैं, कीमतों, पदोन्नति आदि का प्रबंधन कर सकते हैं, ऐसे परिदृश्य के परिणामों की कल्पना करना मुश्किल नहीं है।
ऑनलाइन स्टोर में उपयोग किया जाने वाला सॉफ़्टवेयर किसी अन्य की तरह कमजोरियों से भरा है, यह खुदरा विक्रेताओं की चिंताओं को भी बढ़ाता है। डेटाबेस में SQL इंजेक्शन, साइटों पर XSS और CSRF हमलों की संभावना और अन्य खतरनाक कमजोरियों का उपयोग कॉर्पोरेट नेटवर्क में घुसपैठ और डेटा चोरी करने के लिए किया जा सकता है। बिना कारण के उपयोग किए जाने वाले क्लाउड सर्वर की सुरक्षा की डिग्री के बारे में चिंता का कारण नहीं है। यहाँ अमेज़न सर्वर भेद्यता के कुछ उदाहरण दिए गए हैं । अपने आप में क्लाउड समाधान का उपयोग करने का अर्थ है किसी तीसरे पक्ष पर पूर्ण विश्वास।
सभी खुदरा विक्रेताओं की कम से कम हैकर्स की कॉमिक क्रियाओं से प्रतिष्ठित नुकसान से डरते हैं, जैसे कि साइट पर मजेदार तस्वीरें पोस्ट करना।
अधिकांश खुदरा विक्रेता डीडीओएस के हमलों से डरते नहीं हैं। हालाँकि, डिजिटल सुरक्षा के एक अध्ययन से पता चला है कि सभी DDoS सुरक्षा प्रभावी नहीं हैं।
एक अलग खतरा पदोन्नति है। चूंकि वे "अस्थायी" हैं, इसलिए उन्हें पर्याप्त ध्यान नहीं मिलता है। उनके काम के तर्क का परीक्षण नहीं किया गया है, और आप इसे हेरफेर करने का एक तरीका ढूंढ सकते हैं। बोनस कार्ड के साथ एक समान स्थिति: कोड में त्रुटियों का उपयोग करके, आप अपने बोनस शेष को अनंत तक बढ़ा सकते हैं।
अब हम ऑनलाइन स्टोर में कमजोरियों के शोषण के मामलों का उदाहरण देते हैं।
उदाहरण के लिए , मैग्नेटो ऑनलाइन स्टोर की वेबसाइट पर, वीडियो पूर्वावलोकन स्वयं के URL के साथ POST अनुरोध के माध्यम से डाउनलोड किए जाते हैं। यह अनुरोध एक हमलावर द्वारा GET अनुरोध में बदला जा सकता है, जहां URL के बजाय ऑनलाइन स्टोर की वेबसाइट पर चलने वाला कोई भी दुर्भावनापूर्ण कोड हो सकता है।
डिजिटल सिक्योरिटी के एक शोधकर्ता ने एक भेद्यता की खोज की, जो आपको अनंत संख्या में हवाएं देने की अनुमति देता है, जिसे खरीद मूल्य का 100% तक भुगतान किया जा सकता है। यह सर्वर द्वारा प्राप्त जानकारी के गलत प्रसंस्करण के कारण संभव है, और इस भेद्यता का फायदा उठाने के लिए आपको किसी विशेष कौशल की आवश्यकता नहीं है।
हाल ही में, एअरोफ़्लोत सॉफ्टवेयर स्रोत लीक हो गए हैं। उनमें से, आप कोड के टुकड़े पा सकते हैं जो उपहार प्रमाण पत्र और बोनस पीढ़ी के लिए जिम्मेदार हैं, और निश्चित रूप से, इसका उपयोग अपने लाभ के लिए करें।
आप न केवल आभासी धन, बल्कि माल की कीमतों में भी हेरफेर कर सकते हैं। एक कलम की कीमत के लिए एक स्मार्टफोन खरीदें? यह संभव है यदि मूल्य मूल्यों को संग्रहीत किया जाता है जहां उन्हें एक्सेस करना और बदलना आसान है। उदाहरण के लिए , आप एक नकली HTTP अनुरोध भेजकर सदस्यता की कीमत बदल सकते हैं।
रिटेल के प्रतिनिधियों में से एक ने हमें बताया कि कैसे उसकी दुकानों की श्रृंखला में एक अभियान चलाया गया था, जिस पर ग्राहकों को खिड़की के बाहर तापमान के बराबर छूट मिली थी। सब कुछ ठीक होगा, लेकिन रूस एक बड़ा देश है, और जब सेंट पीटर्सबर्ग में यह केवल +10 था, तो क्रास्नोडार में यह +35 था। यह वह है जो खरीदारों ने दक्षिणी शहरों से मुफ्त वितरण के साथ सामान ऑर्डर करते समय उपयोग किया था। इस स्थिति में, "ब्रेकिंग" भी नहीं थी। प्रचार के गलत नियम स्पष्ट हैं। इस पदोन्नति का उपयोग करते समय डिलीवरी के दायरे को सीमित करने या डिलीवरी को दुर्गम बनाने के लिए पर्याप्त था।
हर कोई जानता है कि "दो सामान खरीदें और तीसरा मुफ्त पाएं"। यह समझा जाता है कि ऑर्डर पर सबसे सस्ता उत्पाद मुफ्त होगा। हालांकि, कुछ हेरफेर के परिणामस्वरूप, एक ऑनलाइन स्टोर के खरीदार केवल तीन पेन और तीन स्मार्टफोन खरीदने में सक्षम थे, केवल पेन और एक स्मार्टफोन के लिए भुगतान करते थे।
एक और कमजोर स्थान कंपनी के कर्मचारियों का है। वे अपनी शक्तियों का दुरुपयोग कर सकते हैं या उपयोगकर्ता डेटाबेस तक पहुंच प्राप्त करने का एक तरीका खोज सकते हैं, अंदर व्यापार रहस्य बनाने आदि की जानकारी। कर्मचारी काले बाजारों में गिरने वाले डेटा के स्रोतों में से एक हैं।
व्यापारियों को ऑफ़लाइन स्टोर में एक बड़ा सुरक्षा जोखिम है, क्योंकि वे अक्सर सोशल इंजीनियरिंग की वस्तु बन जाते हैं। वे ट्रेडिंग फ्लोर में मॉनिटर पर खातों से पासवर्ड के साथ पासवर्ड भूल जाते हैं और स्क्रीन को अनलॉक करके, खातों से बाहर नहीं निकलते हैं।
क्या करें?
कई सुरक्षा उपाय हैं जो ऊपर वर्णित स्थितियों को रोकने में मदद कर सकते हैं, या कम से कम हमलावरों के कार्यों से नुकसान को कम कर सकते हैं। उनमें से यह हाइलाइटिंग के लायक है:
- ऑनलाइन स्टोर वेबसाइट के सभी घटकों का परीक्षण;
- नियमित सुरक्षा ऑडिट आयोजित करना;
- साइट गतिविधि की निरंतर निगरानी;
- WAF जैसे तकनीकी उपकरणों का उपयोग और DDoS हमलों से सुरक्षा;
- उपयोगकर्ताओं के लिए न्यूनतम विशेषाधिकार के सिद्धांत का उपयोग (इसमें खरीदार, और ऑनलाइन स्टोर के कर्मचारी, और प्रशासक शामिल हैं);
- प्रपत्रों में उपयोगकर्ताओं द्वारा दर्ज की गई फ़िल्टरिंग जानकारी;
- आपके व्यक्तिगत खाते के प्रवेश द्वार पर दो-कारक ग्राहक प्रमाणीकरण;
- सोशल इंजीनियरिंग का मुकाबला करने के लिए ऑनलाइन और ऑफलाइन स्टोर कर्मचारियों को प्रशिक्षण देना।