26 października br. Super-Pharm poinformował o incydencie, w którym cyberprzestępcy wykorzystali lukę w zewnętrznym systemie Adobe Commerce. W wyniku ataku doszło do ujawnienia danych osobowych, takich jak imię, nazwisko, adres e-mail oraz numer telefonu. Choć firma zapewnia, że nie ma dowodów na pobranie tych informacji przez osoby nieautoryzowane, incydent ten podkreśla rosnące zagrożenia związane z bezpieczeństwem danych w dobie cyfryzacji.
Sytuację komentuje Łukasz Bajsarowicz, niezależny konsultant e-commerce.
Zobacz również
Komentarz eksperta
Łukasz Bajsarowicz
Niezależny konsultant e-commerce
Wyciek w drogerii
Nie ma tygodnia, w którym nie dochodziłoby w Polsce do wycieku danych klientów. Od polskich sex-shopów, przez sklepy odzieżowe po drogerie i apteki. Ostatnim przykładem jest atak hakerski na Super-Pharm. Czy można było mu zapobiec?
Ostatni tydzień października zawsze przynosi zadumę, zmusza do zastanowienia się nad naszym postępowaniem i dalszymi krokami. „… z przykrością musimy poinformować o naruszeniu ochrony danych dotyczących serwisu Super-Pharm…” mogliśmy przeczytać w wiadomości e-mail wysłanej do klientów drogerii internetowej. Zastanawiam się więc, czy dało się tego uniknąć?
Suszonki miesiąca: top 21 kreacji października 2024 [PRZEGLĄD]
Przedstawiciele drogerii powołują się na „lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego)”. Jest to zaskakujące, gdyż osoby z branży od razu zauważyły, że sklep nie został zabezpieczony poprawnie. Pomimo wgrania nowej wersji sklepu trzy dni po wycieku danych, sklep wciąż zawierał „luki w zewnętrznym oprogramowaniu”, które można wykorzystać. Na sali sądowej nazwalibyśmy to „rażącym zaniedbaniem”.
Słuchaj podcastu NowyMarketing
Niebezpieczny wyjątek?
Cybersecurity rozwija się bardzo szybko i ciężko nadążyć za nowinkami. Po dwóch latach współpracy z amerykańską giełdą monet inwestycyjnych i producentem mundurów wojskowych wciąż bywam zdumiony kreatywnością atakujących. Z pomocą przychodzą dostępne na rynku nieodpłatne biuletyny z „Najlepszymi Praktykami” oraz zdumiewająco skuteczne narzędzia. Nieocenioną pomocą jest feedback od tzw. researcherów, którzy skanują aplikacje internetowe i informują o podatnościach, o ile im na to pozwolimy.
Drogeria internetowa Super-Pharm nie jest odosobnionym przypadkiem zaniedbań. W Polsce jest 818 liczących się e-sklepów opartych o Magento (Adobe Commerce). Spośród nich:
- żaden nie udostępnia informacji kontaktowych do zgłaszania luk bezpieczeństwa (plik security.txt);
- 553 nie stosuje rozwiązań Web Application Firewall, które w sposób automatycznie blokowałoby znane podatności (OWASP) i ataki DDoS;
- 256 zainstalowało Adobe Commerce niepoprawnie, przesyłając na serwer pliki, które służą wyłącznie instalacji aplikacji na nowym serwerze (narzędzie ujawnia dokładne oznaczenie wersji, co pozwala na precyzyjne wyznaczenie podatności);
- 119 udostępnia publicznie narzędzie phpMyAdmin, którego podatności pozwalają na bezpośredni i nieograniczony dostęp do całej bazy danych (i jej pobranie).
Dlaczego tak się dzieje?
Zaraz po wpisie na LinkedInie, otrzymałem komentarze od pracowników polskich agencji zajmujących się wdrożeniami e-commerce.
W wypowiedziach powtarzał się motyw przewodni: „Nie aktualizujemy, bo właściciele biznesu nie chcą płacić za coś, co nie ma bezpośredniego przełożenia na ROI”.
Moim zdaniem jest to rezultat wieloletnich zaniedbań w budowaniu świadomości. Miałem nadzieję, że kara 3,3 mln zł dla Morele.net za ich wyciek danych obudzi osoby odpowiedzialne.
Założę się, że w Excelu mało którego e-commerce managera w Polsce znajduje się pole uwzględniające „zaufanie do marki”. Zaufanie, którego wartość jest bezcenna. Wyciek danych ze sklepu, albo – co gorsza – spam, phishing z wykorzystaniem tych danych kompletnie niszczy wieloletnie starania. Rezultatem czego, w tym samym Excelu brakuje budżetu na przeprowadzenie całościowego audytu sklepu, zainstalowanych rozszerzeń i dedykowanego kodu.
Problemem są również agencje i software house’y, które umowy utrzymaniowe sformułowały w sposób wymagający od właściciela sklepu akceptacji na zainstalowanie poprawek bezpieczeństwa. W rezultacie czas oczekiwania na „zielone światło” jest tak długi, że na rynku pojawia się kolejna poprawka bezpieczeństwa. Błędne koło trwa latami, a sklep pozostaje niezabezpieczony.
Bezpieczeństwo to podstawa
Bezpieczeństwo zawsze powinno być priorytetem wyjętym poza kolejkę i obsłużony w pierwszej kolejności. Audyt sklepu powinien być jak przegląd stomatologiczny – odbywać się przynajmniej raz w roku, a rekomendacje z niego zostać wdrożone jak najszybciej to możliwe, by mała dziura nie przekształciła się w usuwanie infekcji.
PS Przegląd i charakterystyka najlepszych blogów w e-commerce w 2024 roku cz. 4 [ANALIZA]