Neste artigo, falaremos sobre segurança de varejo. Vamos nos concentrar principalmente em lojas online, compras em que há muito tempo são comuns, mas também prestaremos um pouco de atenção às lojas offline.

Realizamos uma pesquisa com representantes do setor de varejo e descobrimos quais ameaças à segurança eles consideram as mais graves e de quais ataques devemos esperar as maiores perdas.

Os resultados da pesquisa mostraram que a maior preocupação é o vazamento de dados pessoais dos clientes. E há toda razão para isso. A legislação russa está mudando para uma responsabilidade mais difícil nessa área. Mas nem sempre os invasores estão interessados ​​em dados pessoais, como nome, endereço residencial e hash de senha da conta. Muito mais atraentes são os dados dos cartões bancários que podem ser colocados nos negócios sem sair do caixa.

As lojas online não são apenas uma fonte de informações do cartão do banco do cliente, mas também um local onde os dados adquiridos no mercado negro podem ser usados ​​pelos golpistas para fazer compras. Provavelmente, isso não levará a perdas financeiras, mas será difícil evitar a reputação. Portanto, alguns sites se recusam a trabalhar em países onde o crime cibernético floresce.

Também pode haver um vazamento de dados relacionados a finanças e outras informações confidenciais sobre as atividades da loja. Nesse caso, as consequências do vazamento e o tamanho das perdas dependem de quem obtém acesso aos dados e como eles serão usados.

Existem vários tipos de ataques, especialmente perigosos para lojas online. Todos os entrevistados temem a possibilidade de acesso não autorizado às contas de usuários e funcionários. Mais terrível do que isso é apenas o acesso não autorizado aos painéis de administração. Por meio dessas contas, você pode acessar bancos de dados, gerenciar preços, promoções etc. Não é difícil imaginar as consequências de um cenário como esse.

O software usado nas lojas on-line está cheio de vulnerabilidades, como qualquer outro, também levanta as preocupações dos varejistas. As injeções de SQL nos bancos de dados, a possibilidade de ataques XSS e CSRF nos sites e outras vulnerabilidades perigosas podem ser usadas para se infiltrar na rede corporativa e roubar dados. Não sem razão, preocupa-se com o grau de segurança dos servidores em nuvem usados. Aqui estão alguns exemplos de vulnerabilidades do servidor Amazon. O uso de soluções em nuvem, por si só, significa total confiança em terceiros.

Menos de todos os varejistas têm medo de perdas de reputação decorrentes de ações cômicas de hackers, como postar fotos engraçadas no site.

A maioria dos varejistas não tem medo de ataques DDoS. No entanto, um estudo da Digital Security mostrou que nem todas as proteções contra DDoS são eficazes.

Um perigo separado são as promoções. Por serem "temporários", não recebem atenção suficiente. A lógica do trabalho deles não é testada e você pode encontrar uma maneira de manipulá-la. Uma situação semelhante com os cartões de bônus: usando erros no código, você pode aumentar seu saldo de bônus para o infinito.

Agora vamos dar exemplos de casos de exploração de vulnerabilidades em lojas online.

Por exemplo , no site da loja online Magneto , as visualizações de vídeo são baixadas por meio de uma solicitação POST com o URL da própria imagem. Essa solicitação pode ser alterada por um invasor para uma solicitação GET, onde, em vez do URL, pode haver qualquer código malicioso executado no site da loja online.

Um pesquisador da Digital Security descobriu uma vulnerabilidade que permite acabar com um número infinito de pontos que podem ser pagos até 100% do preço da compra. Isso é possível devido ao processamento incorreto das informações recebidas pelo servidor e para explorar esta vulnerabilidade, você não precisa de habilidades especiais.

Mais recentemente, as fontes de software da Aeroflot vazaram. Entre eles, você pode encontrar trechos de código responsáveis ​​por certificados de presente e geração de bônus e, é claro, usá-lo para sua vantagem.

Você pode manipular não apenas dinheiro virtual, mas também os preços dos produtos. Compre um smartphone pelo preço de uma caneta? Isso é possível se os valores do preço forem armazenados onde é fácil acessá-los e alterá-los. Por exemplo , você pode alterar o preço de uma assinatura enviando uma solicitação HTTP falsa.

Um dos representantes do varejo nos contou como foi realizada uma campanha em sua rede de lojas nas quais os clientes receberam um desconto igual à temperatura do lado de fora da janela. Tudo ficaria bem, mas a Rússia é um país grande, e quando em São Petersburgo era apenas +10, em Krasnodar era +35. Isso é o que os compradores usavam ao encomendar mercadorias com entrega gratuita nas cidades do sul. Nesta situação, nem mesmo “quebrar” precisou. As regras mal concebidas da promoção são óbvias. Foi o suficiente para limitar o escopo da entrega ou até tornar a entrega inacessível ao usar esta promoção.

Todo mundo conhece a promoção "compre dois produtos e obtenha o terceiro grátis". Entende-se que o produto mais barato do pedido será gratuito. No entanto, como resultado de certas manipulações, os compradores de uma loja online conseguiram comprar três canetas e três smartphones, pagando apenas por canetas e um smartphone.

Outro ponto fraco são os funcionários da empresa. Eles podem abusar de seus poderes ou encontrar uma maneira de obter acesso a bancos de dados de usuários, informações internas que constituam segredo comercial etc. Os funcionários são uma das fontes de dados dos mercados negros.

Os comerciantes são um grande risco de segurança nas lojas offline, pois geralmente se tornam objetos de engenharia social. Eles esquecem as senhas com as senhas das contas nos monitores nos pregões e não saem das contas, deixando a tela desbloqueada.

O que fazer

Existem muitas medidas de segurança que podem ajudar a impedir as situações descritas acima ou, pelo menos, reduzir o dano causado pelas ações dos atacantes. Entre eles, vale destacar:

• teste de todos os componentes do site da loja online;
• realização de auditorias regulares de segurança;
• monitoramento contínuo da atividade do site;
• o uso de ferramentas técnicas como WAF e proteção contra ataques DDoS;
• o uso do princípio de privilégios mínimos para os usuários (isso inclui compradores e funcionários da loja online e administradores);
• filtrar informações inseridas pelos usuários em formulários;
• autenticação de cliente de dois fatores na entrada da sua conta pessoal;
• treinamento de funcionários da loja online e offline sobre como combater a engenharia social.