E-ticaret uygulamalarına yönelik siber saldırılar, 2023’te yaygın bir trend haline gelecek; e-ticaret işletmeleri daha çok kanallı hale gelecek, giderek daha fazla API arayüzü oluşturup dağıtacak ve tehdit aktörleri sürekli olarak güvenlik açıklarından yararlanmanın daha fazla yolunu araştıracak. Bu nedenle, web uygulamalarını tam olarak korumak, zayıf yönleri tespit etmek ve böylece hızlı bir şekilde azaltılabilmesi için düzenli testlerin ve sürekli izlemenin gerekli olmasının nedeni budur.
Bu yazıda Honda e-ticaret platformuna yönelik son saldırıyı, bunun nasıl gerçekleştiğini ve bunun işletme ve müşteriler üzerindeki etkisini tartışacağız. Uygulama güvenliği testinin önemine ek olarak, güvenlik açığı testinin farklı alanlarını ve çeşitli aşamalarını da tartışacağız.
Son olarak, uzun vadeli önleyici bir çözümün nasıl olduğuna dair ayrıntılar vereceğiz. PTaaS e-ticaret işletmelerini ve sürekli test (PTaaS) ile standart kalem testi arasındaki farkları koruyabilir.
2023 Honda E-ticaret Platformu Saldırısı
Honda’nın elektrikli ekipmanları, çim, bahçe ve deniz ürünleri ticaret platformunda bir API kusuru vardı Bu, herkesin herhangi bir hesap için şifre sıfırlama talebinde bulunmasına olanak sağladı.
Güvenlik açığı, yakın zamanda Toyota’nın tedarikçi portalında büyük bir güvenlik açığı keşfeden araştırmacı Eaton Zveare tarafından bulundu. Üst düzey hesapların şifresi sıfırlanarak bir tehdit aktörüne, firma ağında kısıtlama olmaksızın yönetici düzeyinde veri erişimi sağlandı. Bir siber suçlu tarafından keşfedilmesi halinde, bu durum çok büyük sonuçlar doğurabilecek büyük ölçekli bir veri ihlaline yol açabilirdi.
Zverare şunları söyledi: “Kötü/eksik erişim kontrolleri, test hesabıyla oturum açtığınızda bile platformdaki tüm verilere erişmeyi mümkün kıldı.”
Bu, test uzmanının aşağıdaki bilgilere erişmesine olanak tanıdı:
- Ağustos 2016’dan Mart 2023’e kadar tüm Honda bayilerinde neredeyse 24.000 müşteri siparişi; buna müşterinin adı, adresi ve telefon numarası dahildir.
- Bu siteleri değiştirme olanağına sahip 1.091 aktif bayi web sitesi.
- 3.588 bayi kullanıcısı/hesabı – kişisel ayrıntılar dahil.
- 11.034 müşteri e-postası – ad ve soyadlar dahil.
- 1.090 bayi e-postası.
- Honda için iç mali raporlar.
Yukarıdaki bilgilerle siber suçlular, kimlik avı kampanyalarından sosyal mühendislik saldırılarına ve karanlık ağda yasa dışı olarak bilgi satmaya kadar çeşitli faaliyetler gerçekleştirebilir. Bu düzeyde erişimle, kredi kartlarını ele geçirmek amacıyla bayi web sitelerine kötü amaçlı yazılımlar da yüklenebilir.
Güvenlik Açığı Nasıl Bulundu?
Honda e-ticaret platformunda kayıtlı bayilere “powerdealer.honda.com” alt alan adları tahsis edilmektedir. Zveare, Honda’nın sitelerinden biri olan Power Equipment Tech Express’teki (PETE) parola sıfırlama API’sinin, önceki parolayı gerektirmeden sıfırlama isteklerini işlediğini keşfetti.
Bir test hesabı kullanılarak bayi kontrol panelinin demosunu sağlayan bir YouTube videosu aracılığıyla geçerli bir e-posta adresi bulundu. Sıfırlandıktan sonra bu oturum açma kimlik bilgileri herhangi bir Honda e-ticaret alt alan adı oturum açma portalında kullanılabilir ve dahili bayilik verilerine erişim sağlanabilir.
Daha sonra test uzmanının, tespit edilme riski olmadan ve yüzlerce hesabın şifresini sıfırlamaya gerek kalmadan gerçek bayilerin hesaplarına erişmesi gerekiyordu. Bunu yapmak için Zveare platformda bir JavaScript kusuru, kullanıcı kimliklerinin sıralı atanması ve erişim güvenliği eksikliği tespit etti. Bu nedenle, başka sonuç kalmayıncaya kadar kullanıcı kimliği bir artırılarak canlı hesaplar bulunabiliyordu.
Son olarak, bir HTTP yanıtı değiştirilerek, istismar edilen hesabın bir yöneticiymiş gibi görünmesi sağlanarak platformun yönetici paneline tam olarak erişilebiliyor.
3 Nisan 2023’te Honda, bulguların kendilerine ilk olarak 16 Mart 2023’te bildirilmesinin ardından tüm hataların giderildiğini bildirdi. Eaton Zveare, firmanın bir hata ödül programı olmadığı için çalışması için herhangi bir mali ödül almadı.
E-ticaret Uygulama Güvenliği Testinin Önemi
E-ticaret uygulaması güvenlik testi, müşteriler, bayiler ve satıcılar da dahil olmak üzere uygulamayla bağlantılı herkesin kişisel ve finansal bilgilerini korumak için gereklidir. E-ticaret uygulamalarına yönelik siber saldırıların sıklığı yüksektir; bu da bir işletmenin itibarına ciddi şekilde zarar verebilecek ve mali kayba neden olabilecek veri ihlallerini önlemek için yeterli korumaya ihtiyaç duyulduğu anlamına gelir.
E-ticaret sektöründe mevzuata uygunluk da sıkıdır; veri koruma, mali cezalardan kaçınmak için iş açısından kritik hale gelir. Bir uygulama, en yeni güvenlik özelliklerinden fazlasını gerektirir; güçlü bir siber güvenlik stratejisi geliştirmek için her bileşenin test edilmesi ve en iyi uygulamaların takip edilmesi gerekir.
E-ticaret Uygulamalarına Yönelik Siber Tehditler
- E-dolandırıcılık – Kimlik avı, kurbanları kötü amaçlı bir web sitesi veya uygulamaya giden bir bağlantıya tıklamaları için kandırmayı amaçlayan bir tür sosyal mühendislik saldırısıdır. Bu, bir banka veya iş arkadaşı gibi güvenilir bir kaynaktan gönderilmiş gibi görünen bir e-posta veya metin gönderilerek yapılır. Kullanıcılar kötü amaçlı siteye girdikten sonra kaydedilecek şifre veya hesap numarası gibi verileri girebilir.
- Kötü amaçlı yazılım/Fidye yazılımı – Kötü amaçlı yazılım bulaştığında, sistemde insanların hesaplarının kilitlenmesi gibi çeşitli etkinlikler gerçekleştirilebilir. Siber suçlular daha sonra hesaplara ve sistemlere yeniden erişim izni vermek için ödeme talep eder; buna fidye yazılımı denir. Ancak farklı eylemler gerçekleştiren çeşitli kötü amaçlı yazılımlar vardır.
- E-Skimming – E-skimming, e-ticaret web sitelerindeki ödeme kartı işleme sayfalarından kredi kartı ayrıntılarını ve kişisel verileri çalar. Bu, kimlik avı saldırıları, kaba kuvvet saldırıları, XSS veya üçüncü taraf web sitelerinin ele geçirilmesi yoluyla gerçekleştirilir.
- Siteler Arası Komut Dosyası Çalıştırma (XSS) – XSS, web kullanıcılarını hedeflemek için bir web sayfasına kötü amaçlı kod enjekte eder. Genellikle Javascript olan bu kod, hassas bilgiler toplamak için kullanıcı girişini kaydedebilir veya sayfa etkinliğini izleyebilir.
- SQL Enjeksiyonu – Bir e-ticaret uygulaması verileri bir SQL veritabanında saklıyorsa, SQL enjeksiyon saldırısı, uygun şekilde korunmadığı takdirde veritabanı içeriğine yetkisiz erişime izin veren kötü amaçlı bir sorgu girebilir. Verileri görüntüleyebildiği gibi bazı durumlarda manipüle etmek de mümkün olabilir.
Güvenlik Açığı Testinin Farklı Alanları
Genellikle güvenlik açığı testinin 8 kritik alanı vardır ve bunların metodolojisi daha sonra 6 aşamaya ayrılabilir.
8 Güvenlik Açığı Testi Alanı
- Web Uygulama Tabanlı Güvenlik Açığı Değerlendirmesi
- API Tabanlı Güvenlik Açığı Değerlendirmesi
- Ağ Tabanlı Güvenlik Açığı Değerlendirmesi
- Ana Bilgisayar Tabanlı Güvenlik Açığı Değerlendirmesi
- Fiziksel Güvenlik Açığı Değerlendirmesi
- Kablosuz Ağ Güvenlik Açığı Değerlendirmesi
- Bulut Tabanlı Güvenlik Açığı Değerlendirmesi
- Sosyal Mühendislik Güvenlik Açığı Değerlendirmesi
Güvenlik Açığı Değerlendirme Metodolojisinin 6 Aşaması
- Kritik ve yüksek riskli varlıkları belirleyin
- Güvenlik açığı değerlendirmesi gerçekleştirin
- Güvenlik açığı analizi ve risk değerlendirmesi yapın
- Güvenlik yamalarını uygulayarak veya yapılandırma sorunlarını düzelterek herhangi bir güvenlik açığını giderin.
- Optimum güvenlik için sistemin nasıl geliştirilebileceğini değerlendirin.
- Değerlendirme sonuçlarını ve alınan önlemleri raporlayın.
Hizmet Olarak Pentest (PTaaS)
Hizmet Olarak Sızma Testi (PTaaS), düzenli ve uygun maliyetli bir dağıtım platformudur. penetrasyon testi aynı zamanda test sağlayıcıları ile müşterileri arasındaki işbirliğini de artırır. Bu, işletmelerin ve kuruluşların güvenlik açıklarını daha sık tespit etmesine olanak tanır.
PTaaS ve Geleneksel Kalem Testi
Geleneksel sızma testleri sözleşmeye dayalı olarak yapılır ve genellikle önemli miktarda zaman alır. Bu nedenle bu tür testler yılda yalnızca bir veya iki kez yapılabilir. Öte yandan PTaaS, kod her değiştirildiğinde bile sürekli test yapılmasını sağlar. PTaaS, otomatik tarama araçları ve manuel tekniklerin bir kombinasyonunu kullanarak sürekli, gerçek zamanlı değerlendirmeler gerçekleştirir. Bu, güvenlik ihtiyaçlarına daha sürekli bir yaklaşım sağlar ve yıllık testlerde ortaya çıkan boşlukları doldurur.
buraya tıklayın Outpost24 tarafından geliştirilen SWAT platformunun canlı demosunu talep ederek PTaaS’ın faydaları hakkında daha fazla bilgi edinmek için.
Çözüm
E-ticaret sitelerine siber saldırılar sık sık yaşanıyor ve Honda gibi küresel şirketlerin oluşturduğu platformlar bile son 12 ayda keşfedilen kritik güvenlik açıklarını içeriyor.
Bir e-ticaret uygulamasının tüm saldırı yüzeyini değerlendirmek, hem işletmeyi hem de kullanıcılarını kimlik avı veya e-skimming gibi siber saldırılardan korumak için güvenlik testi gereklidir.
Hizmet olarak penetrasyon testi, platformları korumanın en iyi yollarından biridir; sürekli güvenlik açığı değerlendirmeleri sağlamak için düzenli taramalar gerçekleştirerek bunların mümkün olan en kısa sürede azaltılabilmesini sağlar.