Кибератаки, нацеленные на приложения электронной коммерции

[Carding]

Кибератаки на приложения электронной коммерции являются распространенной тенденцией в 2023 году, поскольку предприятия электронной коммерции становятся все более многоканальными, они создают и развертывают все больше интерфейсов API, а субъекты угроз постоянно изучают новые способы использования уязвимостей. Вот почему регулярное тестирование и постоянный мониторинг необходимы для полной защиты веб-приложений, выявления слабых мест, чтобы их можно было быстро устранить.

В этой статье мы обсудим недавнюю атаку на платформу электронной коммерции Honda, то, как это произошло, и ее влияние на бизнес и его клиентов. В дополнение к важности тестирования безопасности приложений, мы также обсудим различные области тестирования на уязвимость и его различные этапы.

Наконец, мы подробно расскажем о том, как долгосрочное превентивное решение, такое как PTaaS, может защитить предприятия электронной коммерции, и о различиях между непрерывным тестированием (PTaaS) и стандартным тестированием ручкой.

Атака на платформу электронной коммерции Honda 2023 года​

Торговая платформа Honda для энергетического оборудования, товаров для газонов, садов и морской техники содержала ошибку API, которая позволяла любому пользователю запрашивать сброс пароля для любой учетной записи.

Уязвимость была обнаружена исследователем Итоном Звеаре, который недавно обнаружил серьезный недостаток в системе безопасности портала поставщиков Toyota. Путем сброса пароля учетных записей более высокого уровня субъекту угрозы был предоставлен доступ к данным на уровне администратора в сети фирмы без ограничений. Если бы это было обнаружено киберпреступником, это привело бы к крупномасштабной утечке данных с огромными последствиями.

Звераре сказал: "Неработающие / отсутствующие средства контроля доступа позволили получить доступ ко всем данным на платформе, даже при входе в систему в качестве тестовой учетной записи".

Это позволило тестировщику получить доступ к следующей информации:

• С августа 2016 по март 2023 года во всех дилерских центрах Honda было оформлено почти 24 000 заказов клиентов; это включало имя клиента, адрес и номер телефона.
• 1091 активных веб-сайтов дилеров с возможностью изменять эти сайты.
• 3588 пользователей / учетных записей дилеров, включая личные данные.
• 11 034 электронных письма клиентов, включая имена и фамилии.
• 1090 электронных писем дилерам.
• Внутренние финансовые отчеты Honda.

Располагая вышеуказанной информацией, киберпреступники могут осуществлять целый ряд действий, от фишинговых кампаний до атак социальной инженерии и незаконной продажи информации в темной Сети. При таком уровне доступа вредоносное ПО также может быть установлено на веб-сайтах дилеров для попытки снятия средств с кредитных карт.

Как была обнаружена уязвимость​

На платформе электронной коммерции Honda "powerdealer.honda.com " поддомены назначаются зарегистрированным дилерам. Zveare обнаружил, что API для сброса пароля на одном из сайтов Honda, Power Equipment Tech Express (PETE), обрабатывал запросы на сброс, не требуя предыдущего пароля.

Действительный адрес электронной почты был найден с помощью видеоролика YouTube, в котором демонстрировалась демонстрационная панель управления дилером с использованием тестовой учетной записи. После сброса эти учетные данные для входа могут быть использованы на любом портале входа в поддомен Honda для электронной коммерции, предоставляя доступ к внутренним данным дилерского центра.

Далее тестировщику необходимо было получить доступ к учетным записям реальных дилеров без риска обнаружения и без необходимости сброса паролей сотен учетных записей. Чтобы сделать это, Zveare обнаружил недостаток JavaScript на платформе, последовательное присвоение идентификаторов пользователей и отсутствие безопасности доступа. Таким образом, реальные учетные записи можно было найти, увеличив идентификатор пользователя на единицу, пока не не будет никаких других результатов.

Наконец, можно получить полный доступ к панели администратора платформы, изменив HTTP-ответ, чтобы он выглядел так, как если бы эксплуатируемая учетная запись была администратором.

3 апреля 2023 года Honda сообщила, что все ошибки были исправлены после того, как о результатах им было первоначально сообщено 16 марта 2023 года. Итон Звир не получал финансового вознаграждения за свою работу, поскольку у фирмы нет программы вознаграждения за ошибки.

Важность тестирования безопасности приложений электронной коммерции​

Тестирование безопасности приложений электронной коммерции необходимо для защиты личной и финансовой информации всех, кто связан с приложением, включая клиентов, дилеров и поставщиков. Частота кибератак на приложения электронной коммерции высока, что означает необходимость адекватной защиты для предотвращения утечек данных, которые могут серьезно повредить репутации бизнеса и привести к финансовым потерям.

Соблюдение нормативных требований в секторе электронной коммерции также является строгим, поскольку защита данных становится критически важной для бизнеса во избежание финансовых штрафов. Приложению требуется нечто большее, чем просто новейшие функции безопасности, необходимо протестировать каждый компонент и следовать лучшим практикам для разработки надежной стратегии кибербезопасности.

Киберугрозы для приложений электронной коммерции​

1. Фишинг - Фишинг - это тип атаки социальной инженерии, целью которой является обманом заставить жертв перейти по ссылке на вредоносный веб-сайт или приложение. Это делается путем отправки электронного письма или текстового сообщения, которое выглядит так, как будто оно отправлено из надежного источника, такого как банк или коллега по работе. Попав на вредоносный сайт, пользователи могут вводить такие данные, как пароли или номера учетных записей, которые будут записаны.
2. Вредоносное ПО / программа-вымогатель - После заражения вредоносным ПО в системе может произойти ряд действий, таких как блокировка доступа пользователей к их учетным записям. Затем киберпреступники запрашивают оплату за повторное предоставление доступа к учетным записям и системам - это известно как программа-вымогатель. Однако существует множество вредоносных программ, которые выполняют различные действия.
3. Электронный скимминг - электронный скимминг крадет данные кредитной карты и личные данные со страниц обработки платежных карт на веб-сайтах электронной коммерции. Это достигается с помощью фишинговых атак, атак методом грубой силы, XSS или, возможно, с взломанного стороннего веб-сайта.
4. Межсайтовый скриптинг (XSS) - XSS внедряет вредоносный код на веб-страницу, предназначенный для веб-пользователей. Этот код, обычно Javascript, может записывать вводимые пользователем данные или отслеживать активность страницы для сбора конфиденциальной информации.
5. Внедрение SQL - если приложение электронной коммерции хранит данные в базе данных SQL, то атака с использованием SQL-инъекции может ввести вредоносный запрос, который позволяет получить несанкционированный доступ к содержимому базы данных, если оно не защищено должным образом. Помимо возможности просмотра данных, в некоторых случаях ими также можно манипулировать.

Различные области тестирования на уязвимость​

Обычно существует 8 критических областей тестирования на уязвимость, и их методологию затем можно разбить на 6 этапов.

8 Областей тестирования на уязвимость​

• Оценка уязвимости на основе веб-приложений
• Оценка уязвимости на основе API
• Оценка уязвимости на основе сети
• Оценка уязвимости на основе хостинга
• Оценка физической уязвимости
• Оценка уязвимости беспроводной сети
• Оценка уязвимости в облаке
• Оценка уязвимости в социальной инженерии

6 этапов методологии оценки уязвимости​

1. Определение критически важных активов с высоким уровнем риска
2. Выполните оценку уязвимости
3. Проводить анализ уязвимостей и оценку рисков
4. Устраняют любую уязвимость - например, применяя исправления безопасности или исправляя проблемы с конфигурацией.
5. Оцените, как можно улучшить систему для обеспечения оптимальной безопасности.
6. Сообщите о результатах оценки и предпринятых действиях.

Пентестирование как услуга (PTaaS)​

Тестирование на проникновение как услуга (PTaaS) - это платформа доставки для регулярного и экономически эффективного тестирования на проникновение, а также для расширения сотрудничества между поставщиками тестирования и их клиентами. Это позволяет предприятиям и организациям чаще обнаруживать уязвимости.

PTaaS против традиционного тестирования ручкой​

Традиционное тестирование на проникновение проводится на договорной основе и часто занимает значительное количество времени. Вот почему такого рода тестирование может проводиться только один или два раза в год. PTaaS, с другой стороны, обеспечивает непрерывное тестирование, даже при каждом изменении кода. PTaaS выполняет текущие оценки в режиме реального времени, используя комбинацию инструментов автоматического сканирования и ручных методов. Это обеспечивает более непрерывный подход к обеспечению безопасности и заполняет пробелы, возникающие при ежегодном тестировании.

Нажмите здесь, чтобы узнать больше о преимуществах PTaaS, запросив живую демонстрацию платформы SWAT, разработанной Outpost24.

Заключение​

Кибератаки на веб-сайты электронной коммерции происходят часто, и даже платформы, созданные глобальными компаниями, такими как Honda, содержат критические уязвимости, которые были обнаружены за последние 12 месяцев.

Тестирование безопасности требуется для оценки всей поверхности атаки приложения электронной коммерции, защищая как бизнес, так и его пользователей от кибератак, таких как фишинг или электронный скимминг.

Тестирование на проникновение как услуга является одним из лучших способов защиты платформ, выполняя регулярные проверки для обеспечения непрерывной оценки уязвимостей, чтобы их можно было устранить как можно скорее.