Los ataques cibernéticos a aplicaciones de comercio electrónico serán una tendencia común en 2023, a medida que las empresas de comercio electrónico se vuelven más omnicanal, construyen e implementan cada vez más interfaces API y los actores de amenazas exploran constantemente más formas de explotar las vulnerabilidades. Es por eso que son necesarias pruebas periódicas y un monitoreo continuo para proteger completamente las aplicaciones web, identificando las debilidades para que puedan mitigarse rápidamente.
En este artículo, analizaremos el reciente ataque a la plataforma de comercio electrónico de Honda, cómo ocurrió y su impacto en la empresa y sus clientes. Además de la importancia de las pruebas de seguridad de las aplicaciones, también discutiremos las diferentes áreas de las pruebas de vulnerabilidad y sus distintas fases.
Finalmente, brindaremos detalles sobre cómo una solución preventiva a largo plazo como PTaaS puede proteger las empresas de comercio electrónico y las diferencias entre las pruebas continuas (PTaaS) y las pruebas de penetración estándar.
El ataque a la plataforma de comercio electrónico Honda de 2023
Equipos eléctricos, productos para césped, jardín y marinos de Honda La plataforma de comercio contenía una falla en la API. que permitía a cualquiera solicitar un restablecimiento de contraseña para cualquier cuenta.
La vulnerabilidad fue encontrada por el investigador Eaton Zveare, quien recientemente descubrió una falla de seguridad importante en el portal de proveedores de Toyota. Al restablecer la contraseña de las cuentas de nivel superior, un actor de amenazas obtuvo acceso a datos de nivel de administrador en la red de la empresa sin restricciones. Si lo hubiera descubierto un ciberdelincuente, esto habría dado lugar a una filtración de datos a gran escala con enormes ramificaciones.
Zverare dijo: «Los controles de acceso rotos o faltantes permitieron acceder a todos los datos de la plataforma, incluso cuando se inició sesión como una cuenta de prueba».
Esto permitió al evaluador acceder a la siguiente información:
- Casi 24.000 pedidos de clientes en todos los concesionarios Honda desde agosto de 2016 hasta marzo de 2023; esto incluía el nombre, la dirección y el número de teléfono del cliente.
- 1.091 sitios web de distribuidores activos con capacidad de modificar estos sitios.
- 3588 usuarios/cuentas de distribuidores, incluidos datos personales.
- 11.034 correos electrónicos de clientes, incluidos nombres y apellidos.
- 1.090 correos electrónicos de distribuidores.
- Informes financieros internos de Honda.
Con la información anterior, los ciberdelincuentes podrían realizar una variedad de actividades, desde campañas de phishing hasta ataques de ingeniería social y venta de información ilegal en la web oscura. Con este nivel de acceso, también se podría instalar malware en los sitios web de los distribuidores para intentar robar tarjetas de crédito.
¿Cómo se encontró la vulnerabilidad?
En la plataforma de comercio electrónico de Honda, los subdominios «powerdealer.honda.com» se asignan a concesionarios registrados. Zveare descubrió que la API de restablecimiento de contraseña en uno de los sitios de Honda, Power Equipment Tech Express (PETE), estaba procesando solicitudes de restablecimiento sin requerir la contraseña anterior.
Se encontró una dirección de correo electrónico válida a través de un vídeo de YouTube que proporcionaba una demostración del panel del distribuidor utilizando una cuenta de prueba. Una vez restablecidas, estas credenciales de inicio de sesión se pueden usar en cualquier portal de inicio de sesión de subdominio de comercio electrónico de Honda, brindando acceso a los datos internos del concesionario.
A continuación, el evaluador necesitaba acceder a las cuentas de distribuidores reales sin riesgo de ser detectado y sin necesidad de restablecer las contraseñas de cientos de cuentas. Para ello, Zveare localizó una falla de JavaScript en la plataforma, la asignación secuencial de ID de usuario y una falta de seguridad de acceso. Como tal, las cuentas reales se podían encontrar incrementando el ID de usuario en uno hasta que no hubiera otros resultados.
Finalmente, se podía acceder completamente al panel de administración de la plataforma modificando una respuesta HTTP para que pareciera como si la cuenta explotada fuera un administrador.
El 3 de abril de 2023, Honda informó que todos los errores se habían solucionado después de que se les informara inicialmente de los hallazgos el 16 de marzo de 2023. Eaton Zveare no recibió ninguna recompensa financiera por su trabajo ya que la empresa no tiene un programa de recompensas por errores.
La importancia de las pruebas de seguridad de las aplicaciones de comercio electrónico
Las pruebas de seguridad de las aplicaciones de comercio electrónico son esenciales para proteger la información personal y financiera de todas las personas vinculadas a la aplicación, incluidos clientes, distribuidores y vendedores. La frecuencia de los ciberataques a las aplicaciones de comercio electrónico es alta, lo que significa que se necesita una protección adecuada para evitar filtraciones de datos que pueden dañar gravemente la reputación de una empresa y causar pérdidas financieras.
El cumplimiento normativo en el sector del comercio electrónico también es estricto, y la protección de datos se vuelve crítica para las empresas para evitar sanciones financieras. Una aplicación requiere algo más que las últimas funciones de seguridad: cada componente debe probarse y seguir las mejores prácticas para desarrollar una estrategia sólida de ciberseguridad.
Amenazas cibernéticas para aplicaciones de comercio electrónico
- Suplantación de identidad – El phishing es un tipo de ataque de ingeniería social que tiene como objetivo engañar a las víctimas para que hagan clic en un enlace a un sitio web o una aplicación maliciosa. Esto se hace enviando un correo electrónico o un mensaje de texto que parece haber sido enviado desde una fuente confiable, como un banco o un colega de trabajo. Una vez en el sitio malicioso, los usuarios pueden ingresar datos como contraseñas o números de cuenta que quedarán registrados.
- Malware/ransomware – Una vez infectado con malware, se pueden llevar a cabo una variedad de actividades en un sistema, como bloquear a las personas fuera de sus cuentas. Luego, los ciberdelincuentes solicitan un pago para volver a otorgar acceso a cuentas y sistemas; esto se conoce como ransomware. Sin embargo, existe una variedad de malware que realiza diferentes acciones.
- E-skimming – El e-skimming roba detalles de tarjetas de crédito y datos personales de las páginas de procesamiento de tarjetas de pago en sitios web de comercio electrónico. Esto se logra mediante ataques de phishing, ataques de fuerza bruta, XSS o quizás desde un sitio web de terceros comprometido.
- Secuencias de comandos entre sitios (XSS) – XSS inyecta código malicioso en una página web dirigido a los usuarios web. Este código, normalmente Javascript, puede registrar la entrada del usuario o monitorear la actividad de la página para recopilar información confidencial.
- Inyección SQL – Si una aplicación de comercio electrónico almacena datos en una base de datos SQL, un ataque de inyección SQL puede introducir una consulta maliciosa que permita el acceso no autorizado al contenido de la base de datos si no está protegida adecuadamente. Además de poder visualizar los datos, en algunos casos también es posible manipularlos.
Las diferentes áreas de las pruebas de vulnerabilidad
Normalmente hay 8 áreas críticas de pruebas de vulnerabilidad y su metodología se puede dividir en 6 fases.
8 áreas de pruebas de vulnerabilidad
- Evaluación de vulnerabilidades basada en aplicaciones web
- Evaluación de vulnerabilidad basada en API
- Evaluación de vulnerabilidad basada en red
- Evaluación de vulnerabilidad basada en host
- Evaluación de vulnerabilidad física
- Evaluación de vulnerabilidad de la red inalámbrica
- Evaluación de vulnerabilidades basada en la nube
- Evaluación de vulnerabilidad de ingeniería social
Las 6 fases de la metodología de evaluación de vulnerabilidad
- Determinar activos críticos y de alto riesgo.
- Realizar una evaluación de vulnerabilidad
- Realizar análisis de vulnerabilidad y evaluación de riesgos.
- Repare cualquier vulnerabilidad, por ejemplo, aplicando parches de seguridad o solucionando problemas de configuración.
- Evaluar cómo se puede mejorar el sistema para lograr una seguridad óptima.
- Informar los resultados de la evaluación y las acciones tomadas.
Pentesting como servicio (PTaaS)
Las pruebas de penetración como servicio (PTaaS) son una plataforma de entrega regular y rentable. pruebas de penetración al mismo tiempo que impulsa la colaboración entre los proveedores de pruebas y sus clientes. Esto permite a las empresas y organizaciones detectar vulnerabilidades con mayor frecuencia.
PTaaS versus pruebas de penetración tradicionales
Las pruebas de penetración tradicionales se realizan de forma contractual y, a menudo, requieren una cantidad significativa de tiempo. Por este motivo, este tipo de pruebas sólo se pueden realizar una o dos veces al año. PTaaS, por otro lado, permite pruebas continuas, incluso cada vez que se cambia el código. PTaaS realiza evaluaciones continuas y en tiempo real utilizando una combinación de herramientas de escaneo automatizadas y técnicas manuales. Esto proporciona un enfoque más continuo a las necesidades de seguridad y llena los vacíos que ocurren con las pruebas anuales.
haga clic aquí para obtener más información sobre los beneficios de PTaaS solicitando una demostración en vivo de la plataforma SWAT desarrollada por Outpost24.
Conclusión
Los ataques cibernéticos a sitios web de comercio electrónico ocurren con frecuencia, e incluso las plataformas creadas por empresas globales como Honda contienen vulnerabilidades críticas descubiertas en los últimos 12 meses.
Se requieren pruebas de seguridad para evaluar la superficie de ataque completa de una aplicación de comercio electrónico, protegiendo tanto a la empresa como a sus usuarios de ataques cibernéticos como el phishing o el e-skimming.
Las pruebas de penetración como servicio son una de las mejores formas de proteger las plataformas, realizando análisis periódicos para proporcionar evaluaciones continuas de vulnerabilidades para que puedan mitigarse lo antes posible.