פגמים בתהליך עסקי ראה סיכוני אבטחה

הפעלת אתר אינטרנט מאובטח פירושו יותר מאשר רק שמירה מפני התקפות בין אתרים ו- SQL הזרקת. פגמים בתהליכים העסקיים העומדים ביסודם של אתרי אינטרנט עלולים גם הם להוות סיכון ביטחוני חמור, כך אמר היום (א ') סמנכ"ל האבטחה של חברת אבטחת אינטרנט.

פגמים בתהליכים, או לוגיקה עסקית, עבור אתרי אינטרנט יכולים להוכיח רווחיות גבוהה עבור האקרים, דורשים מעט, אמר ג'רמיה גרוסמן, סגן ראש מחלקת הביטחון של וייטהאט, בתערוכת "בוסטון סקוריטי". "נושאים אלה נפוצים אם אתה יודע מה לחפש", אמר.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

הוא הציע מספר דוגמאות לליקויים אלה, כולל אלה שנמצאו בעיצובים של אתרי אינטרנט, מערכות אימות של Captcha וזכויות משתמש. אנשים אשר מנצלים אותם לעיתים קרובות פשוט נאסר להשתמש בשירות, אם כי לפעמים הם לדין.

בשנת 2007 אישה הואשמה בהונאה QVC מתוך 412,000 $ US $ על ידי ניצול ליקוי ההיגיון העסקי שלה. היא העבירה הזמנות ל -1,800 פריטים עם רשת הקניות הביתית ולאחר מכן ביטלה את ההזמנות באתר האינטרנט שלה. היא קיבלה אשראי על החזרת הסחורה, אבל הפריטים נשלחו אליה בכל מקרה והיא מכרה אותם ב- eBay, אמר משרד המשפטים. QVC הפך מודעים לעניין כאשר משתמשים eBay פנה אליו על קבלת פריטים עדיין באריזתו. האישה אישרה לבסוף את ההונאה.

תכונות לאיפוס סיסמה יכולות להוביל לגישה לא מורשית לחשבון אם הן שואלות שאלות ברורות, והאקרים הם בעלי מידע מינימלי על הקורבנות שלהם. גרוסמן הציע דוגמה של ספק השירות הנייד לשעבר ספרינט. כדי לאפס את הסיסמאות שלו, אמר, האקר צריך לדעת רק את מספר הטלפון הנייד של האדם ואת פיסת מידע בסיסית כגון איפה הם גרים או את המכונית שהם נסעו. זה יכול היה לאפשר להאקר להזמין טלפונים חדשים בשם הקורבן או להתקין שירותים חדשים בטלפון שלהם.

E- קופונים מהווים סיכון לסוחרים אם מספרי הקופון קרובים זה לזה ברצף. אחד הקמעונאים ראה כמה פריטים במחיר גבוה שלה למכור עבור כמה דולרים לאחר האקר כתב תסריט לחשוף מספרי קופון כי נבדלה רק על ידי מספר ספרות, אמר גרוסמן. קמעונאית גילתה את הבעיה כאשר יומני המערכת שלה חשפו שפע של הזמנות מעובדות בלילה בזמן שהסקריפט של האקר נמשך.

האקרים יכולים לשכנע גולשים אחרים לפתור את בדיקות ה- Captcha עבורם על ידי לפתות אותם לאתרי אינטרנט עם הבטחה חופשית מוסיקה או תוכן למבוגרים בלבד. Captchas דורשים אדם כדי לפענח שורה של תווים מעורבב כדי להירשם לשירותים כגון חשבון דואר אלקטרוני באינטרנט. הגולשים פותרים את ה- Captchas, שנשלחו באמצעות שרת proxy ל- hacker, ולאחר מכן משתמש בהם כדי להירשם למספר חשבונות דואר אלקטרוני לשליחת דואר זבל או פעילות אחרת.

"כל עוד יש לך מספיק משתמשים לאתר שלך, יש לך את הפתק נפתרה, "אמר גרוסמן. "בחורים רעים רוצים להביס את הקפטנים האלה כדי שיוכלו לשלוח לנו דואר זבל".

פגם נוסף מעניק למשתמשים גישה לכל חלקי האתר כאשר יש להם שם משתמש או סיסמה עבור שירות מסוים שם. לדוגמה, עובדים בחברה אסטונית נרשמו לשירות ההודעות לעיתונות של Business Wire בשנת 2004. הוא הבין כי בכתובות האתר באתר יש לעתים מידע על מהדורות חדשות שטרם פורסמו. באמצעות תוכנית המחפשת כתובות אתרים, העובדים במשרד הצליחו לחשוף מידע עסקי ופיננסי רגיש. לאחר קנייה ומכירה של מניות על סמך מידע זה, העובדים עשו 7.8 מיליון דולר, אך נפגעו גם בהאשמות הונאה על ידי הרגולטורים האמריקאים. [

] הוא ציין כי יש כנראה מקרים דומים רבים, כי מעולם לא עלה לאור כי המבצעים היו מעולם לא נתפסאבטחת האינטרנט משתרעת מעבר לביטחון איכותי ועיצוב נכון של יישומי אינטרנט כדי לכלול את האופן שבו השירותים נקבעים לפעול.