Webshopok és az IT biztonság

Az internetes kereskedelem az elmúlt 1,5 évben igencsak fellendült. A koronavírus és a lezárások eredményeként sok vállalkozás átalakult online webshoppá, hogy ne essenek vissza az eladásoktól. Az éttermek nagy része eddig nem rendelkezett kiszállítási lehetőséggel, azonban a váratlan helyzet miatt kénytelenek voltak más megoldás felé fordulni. A rosszindulatú hackerek pedig szeretnek olyan iparágat választani, amit sok ember használ, és egyértelmű, hogy ez jelenleg a kereskedelem.

A vírus gyakorlatilag belekényszerítette a vállalkozókat ebbe a helyzetbe, ezért gyorsan kellett reagálniuk. Ez a fajta kényszer hozta magával a sérülékenységeket is, hiszen a megszaporodott webshopok tökéletes támadási felülettel szolgáltak a hackerek számára. A legtöbb ilyen webshop valamilyen sablon alapján vagy egy szolgáltatón keresztül készül, ezért a létrehozása gyors és egyszerű. Arra azonban már nem mindenkinek maradt ideje, hogy biztonsági szempontból is megalapozza. Vélhetően ezért volt a Trustwave tanulmánya szerint 2020-ban a kereskedelem  a leginkább támadott iparág informatikai szempontból. 

Webshop feltörések külföldi példákon keresztül

2013-ban a Target volt az első olyan kereskedelmi lánc, ahol nagyobb adatlopás történt. Náluk nem a weboldallal volt probléma, maga a kiszolgáló rendszer integráció nem volt megfelelő. A támadók a pénztárgépeket fertőzték meg egy olyan vírussal, amely leolvasta és továbbította a hitelkártyák adatait, ezen kívül pedig felhasználói adatokat tartalmazó adatbázisokat is elértek. A támadás során legalább 40 millió bankkártya adatot szereztek meg, és legfeljebb 110 millió ember személyes adatait lopták el. 

Az Under Armour leányvállalata a MyFitnessPal, ami egy ingyenesen letölthető alkalmazás. 2018 márciusában jelentették be, hogy 150 millió felhasználói fiók adatot tulajdonítottak el az adatbázisból. A cég állítása szerint nem volt benne pénzügyi adat, csak felhasználónevek és jelszavak, de a jelszavak is titkosítva voltak. Az eset februárban történt, de csak márciusban vették észre. Sem az üzemeltető, sem maga a cég, sem a belső kollégák, sem a védelmi mechanizmusok nem derítették fel. A cég értesítette felhasználóit, és felszólította őket a jelszóváltoztatásra. A jelszavak egy része biztonságosan volt tárolva, a többi pedig SHA1-el volt hashelve, ami már egy régebbi algoritmus, ezért könnyebb volt feltörni.

Mi az elvárható minimum egy webshopnál, ha az IT biztonságról van szó?

A minimum, – ami nemcsak egy webshopra igaz, hanem bármilyen oldalra – hogy legyen egy tanúsítványa. Nagyon sok ingyenes tanúsítvány létezik, csak a cégen múlik, hogy melyik számára a megfelelő. Ez nem egy nagy tétel, megvásárlás után a böngésző címsorában egy zöld lakat jelzi. Ez a minimum elvárás, de alapvetően minden olyan biztonsági megoldást, amit a webshop üzemeltetője adminisztratíve be tud állítani, az elengedhetetlen. Használhatjuk a WooCommerce vagy a Magento szolgáltatását is, ezek már tartalmaznak olyan feature-öket, amik a biztonság megőrzésére szolgálnak. Egy következő lépcsőfok lehet a külső szolgáltatások igénybevétele, akár egy DDos elleni védelem vagy bármilyen olyan biztonsági szolgáltatóval kötött szerződés, aki kifejezetten webshopokra specializálódott. A kérdés csak az, hogy számunkra melyik a megfelelő.

Hogyan ellenőrzik a mobil alkalmazásokat, mielőtt az áruházba kerülnének?

Mindegyik store-nak megvan a maga elvárása, checklistája, hogy mi az, amit ők ellenőrizni fognak, és csak annak megfelelően kerülhet az alkalmazás az áruházba. Az Apple követelményei meglehetősen erősek. A Google is szigorított az elmúlt években, de ott sokkal könnyebben bekerülhetnek hibás alkalmazások, melyek kártékony kódokat is tartalmazhatnak. Egy minimum elvárásnak mindenhol meg kell felelni. Azonban fontos megemlíteni, hogy az alkalmazásokért nem a Google vagy az Apple a felelős, hanem maga a gyártó vagy fejlesztő. Aki ilyet szeretne készíteni, majd pedig közzétenni, annak kötelessége előtte teszteltetni. Ezek az alkalmazások, ha egy weblapnak a kiegészítésére szolgálnak is, akkor már egy meglévő adatbázisból dolgoznak. Ennek a hátulütője, hogy két oldalról is vizsgálni kell a biztonságot. Egy natív alkalmazás több kaput nyit a támadásra, ez is egy plusz szolgáltatás, ezért ezeket is tesztelni kell.

Milyen tanulságokat vonhatunk le nagy webshop platformok bug bounty programjaiból? 

Lazada Ázsia legnagyobb kereskedelmi oldala, akik 2018-ban indítottak először bug bountyt privát programként. Sikerének köszönhetően később publikus programot is nyitottak, a maximum kifizethető összeg pedig 10 ezer dollár körül mozog.

A Shopify 3 éve indította a programot és már több millió dolláros jutalmat is kaphat a bejelentő. 2020 volt a legsikeresebb bejelentések szempontjából, ezért létrehoztak egy dedikált bug bounty csapatot cégen belül, aki fogadja és megoldja ezeket a riportokat. 

Ezeknél az eseteknél ők maguk, mint szolgáltatók indítanak bug bounty programot, ezért az az alap motor, ami működteti a webshopot biztonságos. Azonban, aki ezt igénybe veszi és hozzákapcsol harmadik féltől származó plugineket, azoknak a sérülékenységeire ez a vizsgálat nem terjed ki. 

A hazai e-commerce cégek miért nem érzik szükségét a bug bountynak?

A legtöbb webshop valamilyen szolgáltatónak az alapjára épül, tehát igénybe vesznek egy külső erőforrást és abba töltik fel az ő termékeiket. Ezért úgy gondolják, nem az ő felelősségük annak a biztonságát garantálni. Emellett pedig a biztonság fontossága még mindig háttérbe szorul, nem fordítanak rá kellő figyelmet, jellemzően az első incidens bekövetkezéséig.

Mikor lehet egy webshop veszélyben?

A veszély mindig ott lesz, hiszen az interneten kereskednek. A nemzetközi példákat követve érdemes nyitni a bug bounty felé, mert a rosszakaró hackerek nem válogatnak. Jelenleg még kevés a bug bounty programmal rendelkező webshopok száma, ezért kiváló marketing lehetőség is lehet indítani egy ilyet.. 

Olyan termékeket kell a piacra dobni, amelyek megfelelnek mind jogszabályi, mind külső elvárásoknak, illetve a biztonságnak is. Nem elég csak akkor tesztelni, amikor elindul a webshop, időközönként felül kell vizsgálni, hogy a biztonság folyamatos legyen.

Azok a vállalkozók, akik nagy mértékben kezelnek adatokat, és egy óriási adatbázissal dolgoznak, ők mindenképpen célpontok lehetnek a hackerek számára.

Mennyi időn belül és mekkora anyagi ráfordítással lehet egy korszerű biztonságot képviselő kategóriába bekerülni?

Ez leginkább attól függ, hogy mennyire figyeltek oda a fejlesztésnél a biztonságra, illetve, ha azóta végeztettek újabb sérülékenységvizsgálatokat, akkor valószínű már allokáltak erőforrást rá. A korszerű biztonság lényege a folyamatos tesztelés. Egy 1 éven keresztül futó bug bounty programnál az 5 millió forint relevánsnak tűnik, de inkább azt kell figyelembe venni, hogy ezáltal mennyit lehet spórolni. Ugyanis a folyamatos biztonsági vizsgálatok elvégzésével elkerülhetjük a bírságokat. 

További publikációink