Każde oprogramowanie może stać się celem ataku hakerów. W przypadku e-Commerce takie ataki mogą być zmasowane ponieważ sklepy zazwyczaj są uruchamiane na jednej z gotowych platform.

Przykładem takiego zmasowanego ataku może być opisywany przez blog Armorize skuteczny atak na blisko 90 000 sklepów internetowych napędzanych przez silnik osCommerce. Oprogramowanie w tym przypadku zostało zainfekowanych niebezpiecznym dla użytkowników kodem.

Atak polegał na doklejeniu do kodu szablonów osCommerce odpowiednio spreparowanego kodu JavaScript który z kolei, wykorzystując luki w oprogramowaniu klienta (m.in. Internet Explorer i Adobe PDF) powodował odpalenie na komputerze klienta pliku, infekującego komputer wirusem.

Brzmi jak koszmar? Z pewnością jest koszmarem dla właścicieli sklepów, którzy nie zareagują na zagrożenie w porę. Zbanowanie strony przez Google (dodanie jej do czarnej listy niebezpiecznych witryn) oraz stygmatyzacja jej przez przeglądarki internetowe (czerwone alerty bezpieczeństwa) mogą w konsekwencji doprowadzić do całkowitej utraty klientów.

Nie mówiąc o kompromitacji względem użytkowników, czy też ewentualnych procesach sądowych związanych z uszkodzeniami, których dokona w komputerze ofiary. W końcu my go dystrybuujemy.

Z podobnym  problemem spotkali się swego czasu użytkownicy serwera reklam OpenX – problem o tyle groźniejszy, że niebezpieczny kod był doklejany do wszystkich stron ze wstawionymi kodami reklamowymi.

W przypadku osCommerce autorzy zalecają natychmiastowa aktualizację do najnowszej wersji oprogramowania, w przypadku OpenX na poprawkę należało czekać przez dłuższy czas… Nie każde oprogramowanie open source jest równie aktywnie rozwijane. Oczywiście nie każde jest równie bezpieczne.

Jeśli strona rozsiewa wirusy, zostanie odpowiednio alertowana przez przeglądarkę. Czy chcesz, aby taki komunikat pojawiał się przy wejściu na Twoją stronę?

2671676339_39d221029f

 

Wielu właścicieli sklepów internetowych uruchamiających swój biznes w sieci skupia się na aspektach biznesowych (to dobrze) tak bardzo, że zupełnie zapominają o technologii i podstawowych zasadach, jakie mogą nas obronić przed zagrożeniami (to bardzo niedobrze).

Z technologią jest jak z ubezpieczeniem – często nie widać jej zalet na co dzień. W e-Commerce zaletą dobrej technologii w dużej mierze powinno być niskie ryzyko wystąpienia sytuacji kryzysowej.

Bezpieczeństwo w e-Commerce to nie (tylko) SSL dla klienta i zewn. system płatności (aby nie przechowywać numerów kart płatniczych).

Na co więc warto zwrócić uwagę, aby zmniejszyć ryzyko technicznej wpadki:

  1. Czy oprogramowanie, z którego korzystamy, jest aktywnie rozwijane (częstotliwość nowych wersji, data ostatniej stabilnej)?
  2. Czy za oprogramowaniem (nawet open source) stoi firma oferująca płatny support? Czy inne firmy oferują płatny support? Czy mamy wykupione wsparcie i konserwacje oprogramowania u specjalistów?
  3. Czy wsparcie informatyczne, które mamy, zawiera regularne aktualizacje oprogramowania (wg. changelist producenta informujących o poprawkach bezpieczeństwa) i kopie zapasowe?
  4. Jeśli mamy większy budżet zadbajmy, aby support obwiniał gwarantowane czasy reakcji w sytuacjach kryzysowych (np. 6 godzin dla błędów krytycznych itd),
  5. Czy oprogramowanie, którego używamy cieszy się dobra opinia wśród programistów?
  6. Jak często są wykonywane, i jak długo przechowywane, kopie bezpieczeństwa (błędy i włamania najczęściej ujawniają się po kilku dniach, po czasie – powinniśmy mieć możliwość przywrócenia systemu do ostatniego poprawnego stanu)?
  7. Czy przeprowadzaliśmy testy naszego sklepu? Podstawowe testy bezpieczeństwa – XSS, CSRF, SQL Injection można przetestować automatycznie.

To tylko podstawowe czynności, które pozwolą nam poważnie zwiększyć bezpieczeństwo techniczne naszego biznesu. W dużych wdrożeniach takie i inne wytyczne służą działom IT do opracowania planów postępowania w sytuacjach awaryjnych.

To tak, jak w życiu – nie da się wyeliminować wszystkich zagrożeń, ale ich świadomość jest często wystarczającą obroną. Pogadaj więc ze swoim dostawcą IT na ten temat.

 

Aby dowiedzieć się więcej o bezpieczeństwie Twojego sklepu internetowego skontaktuj się z nami!