23.7.2015 0 Comments

Databáza pod kontrolou

Práve ste dokončili nákup v e-shope a tešíte sa z nového výrobku. Čo môže radosť zaručene prekaziť je napríklad situácia kedy sa zákazník z ničoho nič ocitne v debete kvôli zneužitiu údajov o platbe, uložených v databázach slabo zabezpečeného e-shopu na ktorom vykonal transakciu.

Aj napriek faktu, že prevádzkovateľ je zo zákona o ochrane osobných údajoch povinný chrániť spracúvané osobné údaje a zabezpečovať aktualizáciu bezpečnostných opatrení, nie sú ojedinelé prípady, kedy sa stávajú databázy elektronických obchodov terčom hackerských útokov. V digitalizovanej dobe, kedy sú dáta „krvou" každej organizácie sa opatrenia smerujúce k ochrane citlivých informácií v databázach môžu ukázať ako veľmi výhodné práve preto, že dokážu predísť mnohým nepríjemným následkom spojeným s odcudzením údajov. Vďaka častému výskytu slabo zabezpečených e-shopov, nepotrebujú útočníci pre vniknutie do administrátorského rozhrania ani hlboké technické znalosti. K prieniku do databázy býva využívaná napríklad chyba SQL Injection, ktorá dovoľuje manipulovať s údajmi v databáze bez nutnosti vlastníctva prístupov. Vďaka využitiu uvedenej zraniteľnosti je často možné získať úplný prístup k databáze servera. Princípom tejto chyby je vkladanie nových dotazov do už existujúcich dotazov. Bližšia špecifikácia chyby a jej využitia je dostupná napríklad v testovacej príručke OWASP

Zopakujme si, ktoré informácie o zákazníkoch sa najčastejšie ukladajú v databázach:

  • osobné údaje ako meno, priezvisko, dátum narodenia a doplňujúce kontaktné údaje
  • užívateľské meno a heslo
  • údaje o transakcii - iniciály použitej platobnej karty vrátane čísla karty a CVV, ktorým sa autentifikujú platby

Treba podotknúť, že v databázach elektronických obchodov sa uložia len tie informácie, ktoré preddefinoval jej tvorca. Za ochranu digitálneho súkromia zákazníkov zodpovedá prevádzkovateľ. Hrozby zneužitia údajov z klientských databáz nie sú žiadnou novinkou, no aj napriek tomu sa stále nájde mnoho prípadov aj z radu úspešných podnikateľov, ktorí toto riziko podceňujú. Z nášho geografického prostredia si môžeme spomenúť na nedávny prípad predajcu elektroniky. Začiatkom roku 2015 bola zverejnená informácia o nedostatočnom zabezpečení e-shopu Alza. Priamo v predajni bolo možné sledovať a odchytávať prostredníctvom voľne dostupnej wi-fi komunikáciu prebiehajúcu po sieti.

V praxi to vyzeralo tak, že útočník bol schopný sledovať komunikáciu, ktorá prebiehala po sieti nešifrovane (všetky akcie vrátane užívateľských hesiel). V priebehu pár minút bez nutnosti odchytávania hesla dostať do užívateľského účtu. Nakupovanie na cudzí účet Alza zlodejom uľahčila práve tým, že si do databáz nastavila automatické ukladanie kreditných kariet. Útočník nemusel kradnúť heslá, ale postačilo mu ukradnúť iba session.

Šifrovanie a HTTPS

Spôsob, kedy sú elektronické platby realizované prostredníctvom zadania je najnevhodnejší práve preto, že čísla kreditnej karty sa ukladajú do databázy, ktorá môže byť zneužitá aj s časovým odstupom. Bezpečným spôsobom je využitie gateway ako napríklad TatraPay, ČSOB alebo PayPal služby vďaka ktorej je úplne vynechané zadávanie detailov platobnej karty a jej následné archivovanie do databázy. V ideálnom prípade by mal e-shop používať dostatočne silnú šifru hesla používateľa a HTTPS zabezpečený protokol s podpísaným certifikátom dôveryhodnej certifikačnej autority. V rámci databázy by sa nemali ukladať nikdy heslá nešifrovane ale použiť napríklad overenú šifru Blowfish.

Najbezpečnejším spôsobom ako zrealizovať platbu cez internet je vyhnúť sa zadávaniu detailov platobnej karty. Všetky platby realizovať cez gateway ako TatraPay, ČSOB a podobné služby. Skvelou možnosťou je realizovať platbu cez PayPal. Najrizikovejším spôsobom pre uskutočnenie platby je zadávanie údajov svojej kreditnej karty cez HTTP protokol nešifrovaným pripojením priamo na stránkach e-shopu.

Lucia Krajňáková, Nethemba

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Koniec autosedačkám? Smart Kid Belt - šikovné riešenie na ochranu detí v aute

19.11.2019 00:00

Na trh prichádza novinka pre väčšiu bezpečnosť detí v automobiloch. Detský pás Smart Kid Belt dokáže nahradiť detskú autosedačku alebo podsedák a dodá vám aj dieťaťu pocit pohodlia a bezpečia. Smart K ...

Bezpečnosť 4

ESET uvoľnil nástroj na šifrovanie celého disku na ochranu pred neoprávneným prístupom k údajom

17.11.2019 00:00

ESET vydal nový produkt ESET Full Disk Encryption. Riešenie je určené na ochranu pred neoprávneným prístupom k údajom uloženým na firemných počítačoch a laptopoch v prípade ich straty alebo krádeže. P ...

Bezpečnosť

Klimatické zmeny urobia mestá neobývateľnými. Je čas utiahnuť sa do podzemia

13.11.2019 00:20

Podzemné mestá sú už dávno témou sci-fi, no teraz sa o nich uvažuje celkom vážne. Mestská rada vo fínskych Helsinkách schválila v roku 2010 Podzemný územný plán, ktorý bol dokončený v roku 2019 a pokr ...

Žiadne komentáre

Vyhľadávanie

Brother_300x600

Najnovšie videá