Chyby v podnikovém procesu jsou nebezpečné

Spuštění bezpečného webu znamená více než jen hlídání proti skriptování mezi počítači a útokům SQL injection. Chyby v obchodních procesech, které jsou základem webových stránek, mohou také představovat vážná bezpečnostní rizika, uvedl ČTK ve čtvrtek.

Vady procesů nebo obchodní logika pro webové stránky se mohou pro hackery ukázat jako vysoce výnosné, vyžadují jen málo dovednosti k vykořisťování a někdy nejsou technicky nelegální, aby bylo možné využívat, "řekl Jeremiah Grossman, ředitel CTO společnosti WhiteHat Security."

"Tyto otázky jsou běžné, pokud víte, co hledat," řekl.

[Další informace: Odstranění malwaru z vašeho počítače se systémem Windows]

On nabídl několik příkladů těchto nedostatků, včetně těch, které se nacházejí v designech webových stránek, ověřovacích systémech Captcha a uživatelských oprávněních. Lidé, kteří je využívají, jsou často jen zakázáni využívat službu, i když někdy jsou stíháni.

V roce 2007 byla žena obviněna z podvodu QVC z 412 000 USD tím, že využila chybu v obchodní logice. V objednávce uvedla objednávky na 1800 položek v domácí síti a pak zrušila objednávky na svém webu. Ona dostala uznání za vrácení zboží, ale položky byly poslány k ní stejně a ona prodala je na eBay, ministerstvo spravedlnosti řekl. Společnost QVC si uvědomila záležitost, když se uživatelé eBay obrátili na to, že obdrží položky, které jsou stále ve svém obalu. Žena se nakonec zavázala k podvodu.

Funkce obnovení hesla mohou vést k neoprávněnému přístupu k účtu, pokud se zeptávají na zřejmé otázky a hackeři mají drobné informace o svých oběti. Grossman nabídl příklad zahrnující bývalého poskytovatele mobilních služeb Sprint. Chcete-li obnovit hesla, řekl, hacker potřeboval znát pouze telefonní číslo člověka a základní informace o tom, kde bydlí, nebo o vůz, který řídili. To by mohlo umožnit hackerovi objednat nové telefony v jménu oběti nebo nainstalovat nové služby do svého telefonu.

Elektronické kupony představují pro obchodníky riziko, pokud jsou čísla kuponů postupně blízko sebe. Jeden prodejce viděl, že některé z jeho cenných předmětů se prodávají za pár dolarů poté, co hacker napsal skript pro odhalení čísel kupónů, které se lišily jen několika čísly, řekl Grossman. Obchodník objevil problém, když jeho systémové protokoly odhalily řadu objednávek, které byly zpracovány v noci, zatímco hackerův skript běžel.

Hackeři mohou přesvědčit jiné webové surfaře, aby vyřešili testy Captcha pro ně tím, že je lákají na webové stránky s příslibem volného hudby nebo obsahu pro dospělé. Captcha vyžadují, aby osoba rozluštila řetězec míchaných znaků, aby se přihlásila ke službám, jako je webový e-mailový účet. Webové surfaři řeší Captchase, které jsou odesílány prostřednictvím serveru proxy hackerovi, který je pak používá k přihlášení k více e-mailovým účtům pro zasílání spamu nebo jiné aktivity.

"Pokud máte dostatek uživatelů na váš web máte vyřešen Captcha, "řekl Grossman. "Bad kluci chtějí tyto Captchas porazit, aby nás mohli spamovat."

Další chyba poskytuje uživatelům přístup ke všem částem webových stránek, když mají přihlašovací jméno nebo heslo pro konkrétní službu. Zaměstnanci estonské firmy se například zaregistrovali v tiskové zprávě Business Wire v roce 2004. Zjistili, že adresy URL na webu někdy obsahovaly informace o zpravodajských zprávách, které ještě nebyly zveřejněny. Pomocí programu, který vyhledává adresy URL, byli zaměstnanci ve firmě schopni odhalit citlivé obchodní a finanční informace. Po nákupu a prodeji akcií na základě těchto informací zaměstnanci vydělali 7,8 milionu dolarů, ale také byli vystaveni podvodům ze strany amerických regulátorů.

Poznamenal, že pravděpodobně existuje mnoho podobných případů, které nikdy nevznikly, protože pachatelé byli nikdy nebyl chycen.

Zabezpečení webu přesahuje rámec zajištění kvality a správné navrhování webových aplikací tak, aby zahrnovaly, jak jsou služby nastaveny tak, aby fungovaly.