В этой статье мы поговорим о безопасности ритейла. В основном речь пойдет об интернет-магазинах, покупки в которых уже давно стали обычным делом, но мы также уделим немного внимания оффлайн-магазинам.
Мы провели опрос представителей сферы ритейла и узнали, какие угрозы безопасности они считают наиболее серьезными и от каких атак стоит ожидать наибольших потерь.
Результаты опроса показали, что больше всего опасений вызывает утечка персональных данных покупателей. И для этого есть все основания. Российское законодательство изменяется в сторону ужесточения ответственности в этой сфере. Но далеко не всегда злоумышленников интересуют персональные данные вроде имени, домашнего адреса и хеша пароля от учетной записи. Куда привлекательнее данные банковских карт, которые можно пустить в дело, не отходя от кассы.
Интернет-магазины являются не только источником данных банковских карт клиентов, но и местом, где купленные на черном рынке данные могут быть использованы мошенниками для совершения покупок. Скорее всего, это не приведет к финансовым потерям, но избежать репутационных будет сложно. Поэтому некоторые площадки отказываются работать в странах, где процветает киберпреступность.
Возможна также утечка данных, связанных с финансами и другой конфиденциальной информацией о деятельности магазина. В этом случае последствия утечки и размер потерь зависят от того, кто получит доступ к данным и как они будут использованы.
Существует несколько типов атак, особенно опасных для интернет-магазинов. Все опрошенные опасаются возможности несанкционированного доступа к аккаунтам пользователей и сотрудников. Страшнее этого – только несанкционированный доступ к панелям администратора. Через эти учетные записи можно получить доступ к базам данных, управлять ценами, промоакциями и т. д. Представить последствия такого сценария не сложно.
Софт, использующийся в интернет-магазинах, полон уязвимостей, как и любой другой, это также вызывает опасения ритейлеров. SQL-инъекции в базы данных, возможность XSS и CSRF атак на сайтах и другие опасные уязвимости могут быть использованы для проникновения в корпоративную сеть и кражи данных. Не без оснований вызывает опасения степень защищенности используемых облачных серверов. Вот примеры уязвимостей серверов Amazon. Использование облачных решений само по себе означает полное доверие третьей стороне.
Меньше всего ритейлеры опасаются репутационных потерь от шуточных действий хакеров, таких как размещение смешных картинок на сайте.
Большинство ритейлеров не боятся DDoS-атак. Однако исследование, проведенное Digital Security, показало, что не все средства защиты от DDoS эффективны.
Отдельная опасность – это промоакции. Так как они «временны», им не уделяется достаточно внимания. Логика их работы не проверяется, и можно найти способ манипулировать ею. Похожая ситуация с бонусными картами: используя ошибки в коде, можно увеличивать свой бонусный баланс до бесконечности.
Теперь приведем примеры случаев эксплуатации уязвимостей в интернет-магазинах.
Например, на сайте интернет-магазина Magneto превью видео загружается через POST-запрос с URL-ом самой картинки. Этот запрос может быть изменен злоумышленником на GET-запрос, где вместо URL может быть любой вредоносный код, который выполнится на сайте интернет-магазина.
Исследователь из Digital Security обнаружил уязвимость, которая позволяет накручивать бесконечное количество баллов, которыми можно оплатить до 100% стоимости покупки. Это возможно из-за некорректной обработки получаемой сервером информации, и для эксплуатации этой уязвимости не нужно каких-либо особенных навыков.
Совсем недавно утекли исходники программного обеспечения Аэрофлота. Среди них можно найти куски кода, отвечающие за подарочные сертификаты и генерацию бонусов, и, конечно же, использовать это в своих интересах.
Манипулировать можно не только виртуальными деньгами, но и ценами на товары. Купить смартфон по цене ручки? Это возможно, если значения цен хранятся там, где к ним легко получить доступ и изменить их. Например, можно изменить цену на подписку, отправив поддельный HTTP-запрос.
Один из представителей ритейла рассказал нам о том, как в его сети магазинов проводили акцию, по которой покупатели получали скидку равную температуре за окном. Все бы хорошо, но Россия – большая страна, и когда в Санкт-Петербурге было всего +10, в Краснодаре было +35. Этим и пользовались покупатели, заказывая товары с бесплатной доставкой из южных городов. В этой ситуации даже "ломать" ничего не пришлось. Непродуманность правил промоакции налицо. Достаточно было ограничить область доставки или вообще сделать доставку недоступной при использовании этой акции.
Все знают акцию “купи два товара и получи третий бесплатно”. Подразумевается, что бесплатным будет самый дешевый товар в заказе. Однако в результате определенных манипуляций покупатели одного интернет-магазина смогли приобрести три авторучки и три смартфона, заплатив только за ручки и один смартфон.
Еще одно слабое место – сотрудники компании. Они могут злоупотреблять своими полномочиями или найти способ получить доступ к базам данных пользователей, внутренней информации, составляющей коммерческую тайну, и т.д. Сотрудники – это один из источников данных, попадающих на черные рынки.
Продавцы являются главной угрозой безопасности в оффлайн-магазинах, так как они часто становятся объектами социальной инженерии. Они забывают листки с паролями от учетных записей на мониторах в торговых залах и не выходят из учетных записей, оставляя незаблокированным экран.
Что делать?
Существует много мер безопасности, которые помогут предотвратить ситуации, описанные выше, или хотя бы снизить ущерб от действий злоумышленников. Среди них стоит выделить:
- тестирование всех компонентов сайта интернет-магазина;
- проведение регулярных аудитов безопасности;
- постоянный мониторинг активности сайта;
- использование технических средств вроде WAF и защиты от DDoS-атак;
- использование принципа минимальных привилегий для пользователей (сюда относятся и покупатели, и работники интернет-магазина, и администраторы);
- фильтрация информации, вводимой пользователями в формы;
- двухфакторная аутентификация покупателей при входе в личный кабинет;
- обучение работников интернет- и оффлайн-магазинов тому, как противостоять социальной инженерии.
