онлайн търговия

Полският търговец на дрехи BrandBQ е станал жертва на кибератака, довела до източването на над 1 млрд. записа от базите данни на организацията.

В 6.7 млн. от източените записи е имало Personally Identifiable Information (PII или данни, с които може да се идентифицира физическо лице). Тя включва име, e-mail, адрес, рожденна дата, телефонен номер, пол и история за търсенията и покупки на клиентите на магазините на компанията.

BrandBQ има онлайн и физически магазини в Източна Европа – България, Полша, Румъния, Унгария, Словакия, Украйна и Чехия. Сред свързаните с компанията марки са WearMedicine.com и Answear.com (който е засегнат от пробива).

Като причина за теча се посочват неправилно конфигуриран cloud сървър. За нередностите първи са научили и взели действия екип от киберспециалисти от vpnMentor, които веднага са предприели стъпки към уведомяване на търговеца.

Освен личните данни на частните клиенти, в базата данни на сървъра е имало и около 50 хил. записа на локални фирми, имащи договорни отношения с BrandBQ. Тези записи са съдържали информация като ЕИК, начин на плащане, цени на поръчки и получатели и адреси на техни онлайн клиенти.

Всички тези открити незащитени записи са цяла златна мина за хакери и киберизмамници. Те могат да я използват не само да изнудват полският бранд, но и да последват фишинг атаки към техните клиенти или да извършват различни престъпления с крадените самоличности. Сред другите опции са злоупотреба с данни за доставчици, изнудване и потенциална загуба на репутация.

Самата конфигурация на клауд сървъра от своя страна, може да даде нужната информация как са били настройвани ИТ ресурсите в BrandBQ и къде могат да търсят бъдещи грешки и пролуки за достъп.

Конкурентите на модния бранд също биха могли да се възползват за да откупят информацията и опитат да откраднат повече клиенти с атрактивни цени или условия. Не на последно място, тъй като компанията е базирана в Европа, попада под регулаторните мерки и закони спрямо GDPR. Това е предпоставка за възможно огромна глоба и съдебни искове срещу BrandBQ.

Какви са препоръките на специалистите от vpnMentor – за да се предпазим от подобни течове и загуба на ценна информация от база данни, можем да направим следните базови стъпки –

• Да защитим работещите сървъри
• Да се въведат правилни access list-и
• Никога да не оставяме сървър/система която да не изисква автентикация и да е видима в интернет
• Да не събираме чувствителна персонални данни, освен ако наистина не е необходимо. В този случай е препоръчително да бъдат криптирани и защитени

Последен ъпдейт на 28 ноември 2018 в 10:55 ч.

Black Friday дава началото на сезона на коледното пазаруване, който обикновено формира значителна част от годишните обороти на много търговци. Това важи както за операторите на физически магазини, така и за онлайн търговците.

Ако притежавате онлайн магазин, един от приоритетите, на които трябва да обърнете внимание, е сигурността. Престъпниците използват коледния сезон, за да атакуват онлайн магазини или клиентите им. Ето няколко основни мерки, които ще ви помогнат да намалите риска от кибератака. Те ще са ви полезни и след празниците, защото престъпниците не работят по календар.

Двуфакторна автентикация

Когато администраторският акаунт за вашия онлайн магазин е защитен само с парола, това е еднофакторна защита. Тя може да бъде разбита: например ако някой разбере паролата ви или станете жертва на фишинг атака.

Двуфакторната автентикация е допълнителен защитен слой за администраторския акаунт. Дори и някой да знае паролата ви, той не може да достъпи акаунта, защото освен парола трябва да въведе и еднократен код за достъп. Този код се генерира от приложение на вашия смартфон. Няма как хакерът да разбере какъв е кодът, освен ако не разполага физически с устройството.

Проверка за силни пароли

Хората са предсказуеми и често избират лесни за отгатване пароли като 123456 или password.  Това ги прави потенциални жертви на brute force атаки. Това са атаки, при които се правят опити за въвеждане на често използвани пароли, докато се познае вярната.

За да предпазите клиентите си, можете да настроите магазина си така, че да проверява сложността на паролите, които регистрираните потребители избират. Ако клиентът е избрал лесна за отгатване парола, той ще получава предупреждение за това или пък няма да може да завърши регистрацията си. Това ще направи пазаруването по-сигурно за потребителя, а на вас ще спести главоболия.

Предпазване от популярни уеб уязвимости

Добрите практики изискват да проверявате редовно онлайн магазина си за уязвимости към често срещани заплахи като SQL инжекции или XSS атаки. Това включва както основната платформа за електронна търговия, която използвате, така и допълнителните приставки към нея.

Проверявайте за нови версии на платформата и я обновявайте. Същото правило е в сила за плъгините в магазина. Те могат да се окажат дупка в сигурността. Един от последните примери е уязвимост в плъгина WP GDPR Compliance, през която външно лице може да получи контрол над целия уебсайт.

Криптирана връзка

Ако онлайн магазинът ви все още няма SSL (или надградения вариант TLS), инсталирайте го възможно най-скоро. Тази технология защитава данните на клиентите ви, докато пътуват към сървъра, на който се хоства вашия магазин. Когато данните са некриптирани, те могат да бъдат откраднати (например ако клиентът използва необезопасена WiFi мрежа).

Липсата на криптирана връзка има и други негативи. Някои интернет браузъри като Chrome маркират като потенциално опасни сайтовете, които нямат инсталиран SSL. Това може да доведе до отлив на клиенти и по-малко продажби.

Аларми за съмнителна активност

Можете да настроите аларми, които ви известяват за съмнителна активност в онлайн магазина. Те ще ви помогнат да засечете и предотвратите злоупотреби с клиентски профили и откраднати данни.

Алармите могат да ви информират за акаунти, които правят покупки с много различни кредитни карти или използват много различни IP адреси. Или пък за несъответствия в данните, предоставени от купувача (името и адресът са български, но телефонният номер е от Узбекистан).

Това ще ви помогне да предотвратите измами.