Các website thương mại điện tử đang tồn tại các lỗ hổng nguy hiểm

[thaihihi007]

Trong tổng số 60.000 websites được rà quét, có tới 78% các website thương mại điện tử trên nền tảng Magento đang bị dính lỗ hổng bảo mật.
Thương mại điện tử đã trở thành xu hướng mua sắm phổ biến và được ưa chuộng trên thế giới. Bảo mật trong thương mại điện tử(TMĐT) vẫn là một vấn đề cần được quan tâm. Dưới đây là các lỗ hổng bảo mật phổ biến nhất thường gặp trong các website thương mại điện tử.
Sự phát hiện lần này cho thấy các website sử dụng nền tảng Magento như của công ty Cisco, Oracle, Yahoo đang mặc nhiều sai phạm lớn về dữ liệu khách hàng trong năm vừa rồi.
Hiện tại, đang có một công ty an ninh mạng trên thế giới đang phân tích và nghiên cứu tìm ra xu hướng tấn công vào các lĩnh vực thương mại điện tử và đặc biệt quan tâm tới những nhà cung cấp dịch vụ thanh toán online và các ngân hàng.
Đồng sáng lập của Foregenix, Benjamin Hosack, cho biết sự gia tăng tội phạm mạng đe doạ vào website tmđt sẽ làm giảm lòng tin vào thương mại điện tử, đặc biệt là ở những thị trường mà thương mại điện tử là con đường dẫn đầu trong việc bán hàng trực tuyến.
Một số lỗ hổng của các website thương mại điện tử:


- Đánh cắp thẻ tín dụng
Đây là mục đích của phần lớn các tin tặc. Nếu bạn lưu trữ các thông tin thẻ này trên máy chủ thì điều này rất nguy hiểm. Bạn cần thiết lập một hạ tầng bảo mật và quản lý khóa để bảo vệ các dữ liệu này. Không nên lữu trữ hoặc mã hóa một cách đơn giản trong cơ sở dữ liệu. Tin tặc có thể đánh cắp thông tin của rất nhiều thẻ tín dụng, sử dụng chúng bất hợp pháp trên nhiều kênh khác gây ảnh hưởng rất lớn đến người dùng.
Nếu website thương mại của bạn có chức năng lưu trữ thông tin thanh toán mà bạn lại để bị tin tặc tấn công và đánh cắp thì đó thực sự là điều tồi tệ cho tất cả.


- Đặt ID khách hàng kiểu tuần tự
Đây là lỗ hổng bảo mật rất phổ biến trong nhiều website thương mại điện tử. Việc này xuất phát do các lập trình viên thiếu kinh nghiệm khi phát triển các module quản lý khách hàng. Các ID của khách hàng được đặt một cách tuần tự khá đơn giản. Ví dụ thẻ của bạn là 123456 thì người tiếp theo là 123457. Tin tặc có thể dễ dàng quét và đánh cắp các thông tin của người dùng. Cũng như tiếp tục khai thác dữ liệu cá nhân này để tấn công vào những dữ liệu nhạy cảm khác. Lỗ hổng này cực kỳ đơn giản nhưng hầu hết ít được quan tâm và gây ra những nguy cơ lộ lọt dữ liệu cực kỳ lớn. Nhiều website thương mại điện tử lớn của Việt Nam đa để lộ các điểm yếu chết người này.


- Lỗ hổng do các mã giảm dễ đoán?
Ngoài thẻ tích điểm thì phiếu giảm giá (Coupon) mua hàng cũng là một mục tiêu của tin tặc. Chẳng hạn, bạn đang có 2 phiếu mua hàng, một chiếc giảm giá 10% và bạn muốn đăng bán online phiếu đó, một chiếc giảm giá 50% và bạn muốn để lại cho bạn bè thân thiết của mình. Ví dụ mã của 2 chiếc coupon này là: SuperCheap_10 và SuperCheap_50. Lỗ hổng xuất hiện do tin tặc có thể đoán hoặc tấn công bruteforce vào các website để được các mã giảm giá.


- Tấn công DDOS
Đây là một vấn nạn thường gặp với các trang thương mại điện tử, do cả những yếu tốt cạnh tranh gây nên. Nếu trang web không thể hoạt động bạn sẽ không thể bán hàng được và khách hàng sẽ bắt đầu đi tìm những địa chỉ bán hàng trực tuyến khác. Đó là điều tồi tệ mà các website thương mại điện tử thường phải trả giá.
Những kẻ tấn công hoặc đối thủ của bạn sẽ làm vậy. Hãy chuẩn bị và có phương án để xử lý khi một ngày nào đó số lượng người truy cập của bạn tăng lên gấp 1000 lần. Mỗi phút Downtime thì bạn đều phải trả giá bằng tiền.
Một số giải pháp hiện nay trên Cloud có thể giúp bạn giảm thiểu các cuộc tấn công DDOS cũng như giảm thiểu các cuộc tấn công khai thác lỗ hổng bảo mật.


- Để lộ số lượng hàng trong kho
Lỗ hổng bảo mật này thường được các đối thủ cạnh tranh trong cùng lĩnh vực kinh doanh tận dụng. Đối thủ có thể đo lường và dự đoán kho hàng của bạn bằng cách đặt mua và thêm thật nhiều hàng hóa vào giỏ hàng, cho đến khi hệ thống bán hàng báo sản phẩm đã hết từ đó đoán được số lượng hàng hóa của bạn. Thông tin về số lượng sản phẩm trong kho hàng sẽ được các đối thủ cạnh tranh tận dụng để dự đoán kế hoạch kinh doanh của bạn. Cũng không ngoại lệ trường hợp họ sẽ tìm cách phá vỡ hoặc “clone” những kế hoạch kinh doanh ấy.
Phương án là giới hạn số lượng được thêm vào giỏ hàng, thay vì đánh giá trung thực kho hàng.


- Khai thác các thao tác về giá sản phẩm
Trong chức năng mua hàng thường sẽ có 2 giá trị kèm theo ít nhất 2 biến sẽ được gửi đến chủ dưới dạng một lệnh POST, bao gồm tên ID của hàng hóa và giá cả của hàng hóa đó. Tin tặc có thể can thiệp và thay đổi giá của sản phẩm trước khi gửi tới máy chủ. Vì vậy nếu website xử lý không tốt thì tin tặc có thể mua sản phẩm với giá thấp.

Nguồn: SecurityBox​

[hoaphuongcamera.com]

tuyệt vời, xinh quá, cố gắng kiếm tiền mua thôi

[mpsoftware2019]

làm rò rỉ thông tin khách hàng. đó là lý do tại sao mình ít mua trên các trang thương mại điện tử. Trừ những trang uy tín lắm như tiki thì thoảng mới mua.

[cuocsongs]

Không biết trang nào bảo mật tốt nhỉ!