Článek
Oblíbeným způsobem, jak provozovat vlastní e-shop, je takzvaný pronájem e-shopu. Uživatel si na platformě, která tuto službu poskytuje, může zřídit internetový obchod pomocí několika kliknutí.
„Vyhledával jsem především řešení pro menší nebo středně velké obchody. Celkový počet zranitelných internetových obchodů přesáhl 34 500,“ říká penetrační tester Marek Tóth.
Mezi ty patří například firma Shoptet, která provozuje 22 000 e-shopů, společnost Upgates, Eshop-rychle s 6 500 obchody nebo Webareal, která má stejný počet e-shopů. U všech těchto společností objevil Tóth nedostatky, které mohly vést ke změnám cen produktů, krádeži klientské databáze, přidání dalšího bankovního účtu nebo změnám platebních bran.
„U každé této společnosti jsem si vytvořil vlastní e-shop a na něm jsem zkoumal, co je na platformě možné provést. Snažil jsem se zjistit, jestli normální zákazník z e-shopu může využít jeho chyby k tomu, aby získal přístup do mojí administrace,“ popisuje začátky Tóth. Jeho obava se potvrdila.
Uživatel si na platformě založí e-shop, kde si může nastavit platební metody, tedy účet, kam mají zákazníci posílat peníze. „Tím, jak měl útočník přístup do administrace nebo měl právo změnit data, si mohl do mého e-shopu dopsat vlastní bankovní účet nebo údaje k PayPal účtu,“ popisuje Tóth.
Cílem Tóthova snažení bylo nejen informovat klienty o tom, že je něco takového možné, ale také ukázat, jakým způsobem si mají ověřit, jestli náhodou nebyli mezi napadenými. „Měli by si zkontrolovat, jestli náhodou v jejich administrační části nejsou přidané nové účty nebo další věci, které tam oni sami nezadali,“ doporučuje Tóth.
Častou škodlivou zranitelností internetových obchodů je XSS. „Útočník může do uživatelského vstupu uložit vlastní skript. Tím, že vstup není ošetřen a nebezpečné znaky nejsou nijak umazávány nebo odchyceny, se skript uloží do administrace,“ vysvětluje Tóth. Když se pak uživatel přihlásí k administraci, dojde k vykonání skriptu, který útočník vložil.
Webové a mobilní aplikace jsou vždy buď více nebo méně zranitelné, s čímž musí podle Tótha uživatelé počítat. Záleží však na tom, jak na problémy reagují samotné společnosti. „Cílem pokusu nebylo jen zkoumat samotnou bezpečnost e-shopů, ale také zjistit, jak budou společnosti reagovat na jeho výsledky,“ uvádí Tóth.
„Během několika posledních let jsme u e-shopů využívajících naše řešení nezaznamenali žádné útoky, které by zahrnovaly neoprávněné změny nebo přístupy k údajům v administraci obchodů. Po nahlášení zmiňovaných nedostatků začal náš tým obratem pracovat na opravách podobných typů zranitelností, které se nám podařilo v drtivé většině ihned odstranit,“ uvádí výkonný ředitel společnosti Shoptet Miroslav Uďan.
Ne všechny společnosti však přistupovaly k věci zodpovědně. „Například u jedné společnosti nedošlo k opravě, ani když jsem na ni naléhal a psal jejím zástupcům,“ říká. Její zranitelnost Tóth záměrně nepopisuje, neboť chyby společnost ještě neopravila.
Problémy se však netýkají jen pronajímaných e-shopů. Tóth dříve pomohl odhalit zranitelnost i dalším společnostem, které provozují vlastní internetové obchody. Mezi ně patřily mimo jiné i největší e-shopy v Česku, jako Alza.cz, Rohlík.cz, Košík.cz, Mall.cz, Slevomat.cz, Ifortuna.cz, Intersport.cz nebo Knihydobrovsky.cz. Tyto společnosti své bezpečnostní nedostatky opravily.
