台湾电商行业蓬勃发展,丰富的个人信息和资金吸引了众多攻击者。近期刑事局165反诈骗网站上常常会看到很多电商网站面临个人信息外泄问题,新闻也不断报道民众因为个人信息外泄被诈骗集团骗取钱财。
信息安全问题是电商行业面临的最大危机,民众也很愤怒为什么这些企业都不肯把信息安全做好。但我相信,电商网站的业主也是有苦衷的。不少企业知道要把信息安全做好,但是有些可能不得其法,也可能什么都做了,却还是无法防止自己的网站出现在165诈骗排行的榜单上。
对于不太重视信息安全的电商从业者来说,被揭露其网站存在安全问题,一定程度上能迫使他们把信息安全做好。但对于注重信息安全的电商从业者来说,可能有些人对信息是从哪里泄露出去的还是摸不着头脑。今天我们就来谈谈,到底电商网站的安全问题是什么,民众的个人信息又是怎么外泄的?
目前电商网站常见的困境有几点:
黑色产业的发展比大家想象中还要盛行,若企业对攻击者来说有利可图,黑客组织会不择手段的获取相关资料。因此对网站本身、网站周边系统、企业内部员工、或者以社会工程手法,只要有可用信息就是他们的下手的目标。
这是目前企业最需要先解决的问题,若网站本身安全做的不够好,则很容易被攻击者入侵。
安全问题往往都是企业内部最难解决的问题,道高一尺魔高一丈,若没有经过完整的渗透测试,则难以找出问题的根源。
找到了问题之后,开发人员的教育培训、安全机制、安全设置,都会是企业接下来要面临的安全课题。
不少企业没有自己开发网站,而是承包给外部厂商开发、运维。承包商的质量通常难以掌控,价格战的业界趋势,更让开发的品质难以提升。
但令电商行业最头大的是:承包商拒绝处理漏洞。若没有在一开始的委托合约就明确规定安全维护标准,在日后发生安全事件时则难以要求承包商修补漏洞。
因此建议电商从业者日后的委托开发合同中,要明确规定安全标准、验收时检查第三方渗透测试报告,并且将日后安全维护合约独立于一般维护合约之外,强制执行。
解决方案:选商标准、开标规格、验收标准、安全维护合约
除了服务器以外,客户端也是攻击者下手的目标。
当网站难以被入侵,攻击者就会转往员工电脑下手。
通过社工、搭配恶意邮件等APT攻击,入侵个人电脑后取得用户信息,甚至还会将用户作为跳板渗透进企业内部,扩大攻击面。
若没有足够强的安全意识,员工将会是企业最大的安全缺口。
解决方案:强化安全思维、权限最小化、APT防御
当企业里里外外都防御好了,个人信息还在外泄,到底发生了什么事情呢?别忘了一个电商网站有各种与外界桥接的服务,例如交易的金流、运输的物流。
若搭配的外部系统遭到了入侵,个人信息一样会泄露。但民众、媒体只会觉得“我在这家电商平台买东西时被诈骗”,而怪罪到企业本身。
企业有责任要求合作的厂商一同将安全做好。
解决方案:合作厂商的安全规范、渗透测试
安全的责任不全在企业,有时候消费者本身的账号安全也会影响到电商网站的声誉。
目前民众只要接收到诈骗电话,直觉都会是在某家店交易时被黑,被取得资料资料后卖给诈骗集团,因而回报给165等反诈骗专线。
这种案例也会算在电商网站的账上,但却不一定是电商网站的问题。这种攻击手法也俗称撞库。
解决方法:企业间的防护、提供使用者账号保护
只要有利可图,诈骗集团就会无所不用其极的想获取利益。当系统已经达成基本的安全,使用者外泄的账号也已经无法利用之后,诈骗集团将会转而攻击人性的漏洞,开设买卖热门商品的卖场,吸引无辜的受害者购买。或者在卖场的留言区域假冒卖家,留下自己的LINE号,与消费者沟通,进行诈骗。
解决方案:消费者安全宣导
只要有利益的地方,就会有安全危机。虽说道高一尺魔高一丈,但厂商并非只能坐等被宰割。经营网站最重要的就是保护顾客的个人信息,明白风险的所在。
盘点手上的个人信息存储位置、机制、措施,谨慎安排安全规定,确保将安全的风险降至最低。
更进一步也可以建立与安全人员良好的关系,公开漏洞通报途径及奖励机制,鼓励安全人员优先通报漏洞至企业,避免流入黑色产业。
当然身为消费者的我们,也应该为负责的企业鼓掌。
【注:本文参考来源于devco.re 翻译:RoarTalk 安全脉搏整理编辑发布】
本文作者:嘶吼RoarTalk
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/50808.html