Grembox
Partner merytoryczny działu: Grembox

Kolejny wyciek danych w e-commerce. Audyt sklepu powinien być jak przegląd stomatologiczny [KOMENTARZ]

Kolejny wyciek danych w e-commerce. Audyt sklepu powinien być jak przegląd stomatologiczny [KOMENTARZ]
– Audyt sklepu powinien być jak przegląd stomatologiczny – odbywać się przynajmniej raz w roku, a rekomendacje z niego zostać wdrożone jak najszybciej to możliwe, by mała dziura nie przekształciła się w usuwanie infekcji – wyciek danych w drogerii Super-Pharm komentuje Łukasz Bajsarowicz, niezależny konsultant e-commerce.
Nowy Marketing Nowy Marketing
O autorze
2 min czytania 2024-10-29

26 października br. Super-Pharm poinformował o incydencie, w którym cyberprzestępcy wykorzystali lukę w zewnętrznym systemie Adobe Commerce. W wyniku ataku doszło do ujawnienia danych osobowych, takich jak imię, nazwisko, adres e-mail oraz numer telefonu. Choć firma zapewnia, że nie ma dowodów na pobranie tych informacji przez osoby nieautoryzowane, incydent ten podkreśla rosnące zagrożenia związane z bezpieczeństwem danych w dobie cyfryzacji.

Sytuację komentuje Łukasz Bajsarowicz, niezależny konsultant e-commerce.

Zobacz również

Komentarz eksperta

Łukasz Bajsarowicz 
Niezależny konsultant e-commerce

Wyciek w drogerii

Nie ma tygodnia, w którym nie dochodziłoby w Polsce do wycieku danych klientów. Od polskich sex-shopów, przez sklepy odzieżowe po drogerie i apteki. Ostatnim przykładem jest atak hakerski na Super-Pharm. Czy można było mu zapobiec?

LinkedIn logo
Na LinkedInie obserwuje nas ponad 100 tys. osób. Jesteś tam z nami?
Obserwuj

Ostatni tydzień października zawsze przynosi zadumę, zmusza do zastanowienia się nad naszym postępowaniem i dalszymi krokami. „… z przykrością musimy poinformować o naruszeniu ochrony danych dotyczących serwisu Super-Pharm…” mogliśmy przeczytać w wiadomości e-mail wysłanej do klientów drogerii internetowej. Zastanawiam się więc, czy dało się tego uniknąć?

Przedstawiciele drogerii powołują się na „lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego)”. Jest to zaskakujące, gdyż osoby z branży od razu zauważyły, że sklep nie został zabezpieczony poprawnie. Pomimo wgrania nowej wersji sklepu trzy dni po wycieku danych, sklep wciąż zawierał „luki w zewnętrznym oprogramowaniu”, które można wykorzystać. Na sali sądowej nazwalibyśmy to „rażącym zaniedbaniem”.

Słuchaj podcastu NowyMarketing

Niebezpieczny wyjątek?

Cybersecurity rozwija się bardzo szybko i ciężko nadążyć za nowinkami. Po dwóch latach współpracy z amerykańską giełdą monet inwestycyjnych i producentem mundurów wojskowych wciąż bywam zdumiony kreatywnością atakujących. Z pomocą przychodzą dostępne na rynku nieodpłatne biuletyny z „Najlepszymi Praktykami” oraz zdumiewająco skuteczne narzędzia. Nieocenioną pomocą jest feedback od tzw. researcherów, którzy skanują aplikacje internetowe i informują o podatnościach, o ile im na to pozwolimy.

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

Drogeria internetowa Super-Pharm nie jest odosobnionym przypadkiem zaniedbań. W Polsce jest 818 liczących się e-sklepów opartych o Magento (Adobe Commerce). Spośród nich:

  1. żaden nie udostępnia informacji kontaktowych do zgłaszania luk bezpieczeństwa (plik security.txt);
  2. 553 nie stosuje rozwiązań Web Application Firewall, które w sposób automatycznie blokowałoby znane podatności (OWASP) i ataki DDoS;
  3. 256 zainstalowało Adobe Commerce niepoprawnie, przesyłając na serwer pliki, które służą wyłącznie instalacji aplikacji na nowym serwerze (narzędzie ujawnia dokładne oznaczenie wersji, co pozwala na precyzyjne wyznaczenie podatności);
  4. 119 udostępnia publicznie narzędzie phpMyAdmin, którego podatności pozwalają na bezpośredni i nieograniczony dostęp do całej bazy danych (i jej pobranie).

Dlaczego tak się dzieje?

Zaraz po wpisie na LinkedInie, otrzymałem komentarze od pracowników polskich agencji zajmujących się wdrożeniami e-commerce.

W wypowiedziach powtarzał się motyw przewodni: „Nie aktualizujemy, bo właściciele biznesu nie chcą płacić za coś, co nie ma bezpośredniego przełożenia na ROI”.

Moim zdaniem jest to rezultat wieloletnich zaniedbań w budowaniu świadomości. Miałem nadzieję, że kara 3,3 mln zł dla Morele.net za ich wyciek danych obudzi osoby odpowiedzialne.

Założę się, że w Excelu mało którego e-commerce managera w Polsce znajduje się pole uwzględniające „zaufanie do marki”. Zaufanie, którego wartość jest bezcenna. Wyciek danych ze sklepu, albo – co gorsza – spam, phishing z wykorzystaniem tych danych kompletnie niszczy wieloletnie starania. Rezultatem czego, w tym samym Excelu brakuje budżetu na przeprowadzenie całościowego audytu sklepu, zainstalowanych rozszerzeń i dedykowanego kodu.

Problemem są również agencje i software house’y, które umowy utrzymaniowe sformułowały w sposób wymagający od właściciela sklepu akceptacji na zainstalowanie poprawek bezpieczeństwa. W rezultacie czas oczekiwania na „zielone światło” jest tak długi, że na rynku pojawia się kolejna poprawka bezpieczeństwa. Błędne koło trwa latami, a sklep pozostaje niezabezpieczony.

Bezpieczeństwo to podstawa

Bezpieczeństwo zawsze powinno być priorytetem wyjętym poza kolejkę i obsłużony w pierwszej kolejności. Audyt sklepu powinien być jak przegląd stomatologiczny – odbywać się przynajmniej raz w roku, a rekomendacje z niego zostać wdrożone jak najszybciej to możliwe, by mała dziura nie przekształciła się w usuwanie infekcji.

PS Przegląd i charakterystyka najlepszych blogów w e-commerce w 2024 roku cz. 4 [ANALIZA]

Przegląd i charakterystyka najlepszych blogów w e-commerce w 2024 roku cz. 4 [ANALIZA]