电商企业的安全困境?

2016-08-08 9,622

台湾电商行业蓬勃发展,丰富的个人信息和资金吸引了众多攻击者。近期刑事局165反诈骗网站上常常会看到很多电商网站面临个人信息外泄问题,新闻也不断报道民众因为个人信息外泄被诈骗集团骗取钱财。

信息安全问题是电商行业面临的最大危机,民众也很愤怒为什么这些企业都不肯把信息安全做好。但我相信,电商网站的业主也是有苦衷的。不少企业知道要把信息安全做好,但是有些可能不得其法,也可能什么都做了,却还是无法防止自己的网站出现在165诈骗排行的榜单上。

对于不太重视信息安全的电商从业者来说,被揭露其网站存在安全问题,一定程度上能迫使他们把信息安全做好。但对于注重信息安全的电商从业者来说,可能有些人对信息是从哪里泄露出去的还是摸不着头脑。今天我们就来谈谈,到底电商网站的安全问题是什么,民众的个人信息又是怎么外泄的?

dianshang1

电商网站的困境

目前电商网站常见的困境有几点:

  • 1. 自行开发的网站存在漏洞
  • 2. 委托网站开发商开发的网站存在漏洞,但是开发商不处理
  • 3. 内部员工电脑遭黑客入侵,导致个人信息外泄
  • 4. 合作厂商个人信息外泄
  • 5. 攻击者用已经外泄的账号密码登录电商网站
  • 6. 买家在诈骗集团的交易

黑色产业的发展比大家想象中还要盛行,若企业对攻击者来说有利可图,黑客组织会不择手段的获取相关资料。因此对网站本身、网站周边系统、企业内部员工、或者以社会工程手法,只要有可用信息就是他们的下手的目标。

自行开发网站存在漏洞

这是目前企业最需要先解决的问题,若网站本身安全做的不够好,则很容易被攻击者入侵。

安全问题往往都是企业内部最难解决的问题,道高一尺魔高一丈,若没有经过完整的渗透测试,则难以找出问题的根源。

找到了问题之后,开发人员的教育培训、安全机制、安全设置,都会是企业接下来要面临的安全课题。

解决方案:渗透测试安全顾问教育培训

dianshang2

开发商不处理漏洞

不少企业没有自己开发网站,而是承包给外部厂商开发、运维。承包商的质量通常难以掌控,价格战的业界趋势,更让开发的品质难以提升。

但令电商行业最头大的是:承包商拒绝处理漏洞。若没有在一开始的委托合约就明确规定安全维护标准,在日后发生安全事件时则难以要求承包商修补漏洞。

因此建议电商从业者日后的委托开发合同中,要明确规定安全标准、验收时检查第三方渗透测试报告,并且将日后安全维护合约独立于一般维护合约之外,强制执行。

解决方案:选商标准、开标规格、验收标准、安全维护合约

 

内部员工电脑遭黑客入侵

除了服务器以外,客户端也是攻击者下手的目标。

当网站难以被入侵,攻击者就会转往员工电脑下手。

通过社工、搭配恶意邮件等APT攻击,入侵个人电脑后取得用户信息,甚至还会将用户作为跳板渗透进企业内部,扩大攻击面。

若没有足够强的安全意识,员工将会是企业最大的安全缺口。

 

解决方案:强化安全思维、权限最小化、APT防御

dianshang3

合作厂商个人信息外泄

当企业里里外外都防御好了,个人信息还在外泄,到底发生了什么事情呢?别忘了一个电商网站有各种与外界桥接的服务,例如交易的金流、运输的物流。

若搭配的外部系统遭到了入侵,个人信息一样会泄露。但民众、媒体只会觉得“我在这家电商平台买东西时被诈骗”,而怪罪到企业本身。

企业有责任要求合作的厂商一同将安全做好。

解决方案:合作厂商的安全规范、渗透测试

dianshang4

用已泄露账号登录网站

安全的责任不全在企业,有时候消费者本身的账号安全也会影响到电商网站的声誉。

目前民众只要接收到诈骗电话,直觉都会是在某家店交易时被黑,被取得资料资料后卖给诈骗集团,因而回报给165等反诈骗专线。

这种案例也会算在电商网站的账上,但却不一定是电商网站的问题。这种攻击手法也俗称撞库。

解决方法:企业间的防护、提供使用者账号保护

dianshang5

 

买家在诈骗集团的交易

只要有利可图,诈骗集团就会无所不用其极的想获取利益。当系统已经达成基本的安全,使用者外泄的账号也已经无法利用之后,诈骗集团将会转而攻击人性的漏洞,开设买卖热门商品的卖场,吸引无辜的受害者购买。或者在卖场的留言区域假冒卖家,留下自己的LINE号,与消费者沟通,进行诈骗。

解决方案:消费者安全宣导

 

电商企业如何自保?

只要有利益的地方,就会有安全危机。虽说道高一尺魔高一丈,但厂商并非只能坐等被宰割。经营网站最重要的就是保护顾客的个人信息,明白风险的所在。

盘点手上的个人信息存储位置、机制、措施,谨慎安排安全规定,确保将安全的风险降至最低。

更进一步也可以建立与安全人员良好的关系,公开漏洞通报途径及奖励机制,鼓励安全人员优先通报漏洞至企业,避免流入黑色产业。

当然身为消费者的我们,也应该为负责的企业鼓掌。

 

【注:本文参考来源于devco.re  翻译:RoarTalk  安全脉搏整理编辑发布

 

本文作者:嘶吼RoarTalk

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/50808.html

Tags:
评论  (0)
快来写下你的想法吧!

嘶吼RoarTalk

文章数:19 积分: 1

回归最本质的信息安全,互联网安全新媒体

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号