01 avril 2025The Hacker NewsSécurité Web / conformité du RGPD

Vos jetons de sécurité sont-ils vraiment sécurisés?

Explorez comment Reflectiz a aidé un détaillant géant à exposer un pixel Facebook qui suivait secrètement les jetons CSRF sensibles en raison de erreurs de configuration des erreurs humaines. Découvrez le processus de détection, les stratégies de réponse et les mesures prises pour atténuer ce problème critique. Télécharger l’étude de cas complète ici.

En mettant en œuvre les recommandations de Refleviz, le détaillant a évité ce qui suit:

  • Amendes potentielles du RGPD (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires)
  • Coût de violation de données de 3,9 millions de dollars [on average]
  • 5% de désabonnement du client

Introduction

Vous ne savez peut-être pas grand-chose sur les jetons CSRF, mais en tant que détaillant en ligne, vous devez en savoir suffisamment pour éviter toute superficie accidentelle de leur parole par le Pixel Facebook. Se tromper pourrait signifier d’énormes amendes des régulateurs de protection des données, donc le but de cet article est de vous donner un bref aperçu du problème et d’expliquer la meilleure façon de protéger votre entreprise contre elle.

Vous pouvez explorer ce problème clé plus en profondeur en téléchargeant notre nouvelle étude de cas gratuite sur le sujet [from here]. Il passe par un exemple réel du moment où cela est arrivé à un détaillant mondial de vêtements et de style de vie. Il explique le problème auquel ils ont dû faire plus en détail, mais cet article est un aperçu de la forme de la menace de vous mettre au courant.

Jetons un aperçu de la façon dont ce problème s’est déroulé et pourquoi il est important pour la sécurité en ligne.

Ce qui s’est passé et pourquoi c’est important

En un mot, une solution de surveillance des menaces Web appelée ReflectIz a découvert une fuite de données dans les systèmes du détaillant que d’autres ne l’ont pas fait: son pixel Facebook dépassait une technologie de sécurité appelée jetons CSRF qu’il aurait dû maintenir sous les wraps.

Les jetons CSRF ont été inventés pour arrêter le CSRF, qui représente falsification des demandes de site transversal. C’est un type de cyberattaque qui implique de tromper une application Web dans l’exécution de certaines actions en le convaincant qu’ils provenaient d’un utilisateur authentifié.

Essentiellement, il exploite la confiance que l’application Web a dans le navigateur de l’utilisateur.

Voici comment cela fonctionne:

  • La victime est connectée à un site Web de confiance (par exemple, sa banque en ligne).
  • L’attaquant crée un lien ou un script malveillant et incite la victime à cliquer sur elle (cela pourrait se produire par e-mail, les médias sociaux ou un autre site Web).
  • Le lien malveillant envoie une demande au site Web de confiance. Étant donné que la victime est déjà authentifiée, leur navigateur comprend automatiquement leur Cookies de session ou des informations d’identification, faisant apparaître la demande légitime pour l’application Web.
  • En conséquence, la demande Web réalisera l’action dans la demande malveillante de l’attaquant, telles que le transfert de fonds ou la modification des détails du compte, sans le consentement de la victime.

[Note that this is not a malicious activity event. All ‘blockers’ that monitor the traffic for malicious scripts would not detect any issues.]

Les développeurs peuvent utiliser divers outils pour empêcher que ce soit, et l’un d’eux est les jetons CSRF. Ils garantissent que les utilisateurs authentifiés effectuent uniquement les actions qu’ils ont l’intention, pas celles demandées par les attaquants.

ReflectIz a recommandé de stocker les jetons CSRF dans les cookies httponly, ce qui empêche les scripts tiers, comme Facebook Pixel, d’y accéder.

Le problème de mauvaise configuration

Dans l’exemple d’étude de cas [that you can find here] Le Pixel Facebook du détaillant avait été accidentellement mal configuré. La mauvaise configuration a permis au pixel d’accéder par inadvertance aux jetons CSRF – des éléments de sécurité critiques qui empêchent les actions non autorisées au nom des utilisateurs authentifiés. Ces jetons ont été exposés, créant une grave vulnérabilité de sécurité. Cette violation a risqué de multiples problèmes de sécurité, y compris des fuites de données potentielles et des actions non autorisées au nom des utilisateurs.

Comme de nombreux détaillants en ligne, votre site Web utilisera probablement le Pixel Facebook pour suivre les activités des visiteurs pour optimiser sa publicité Facebook, mais elle ne devrait que recueillir et partager les informations dont elle a besoin à cette fin, et elle ne devrait le faire qu’après avoir obtenu les autorisations des utilisateurs correctes. Étant donné que les jetons CSRF ne devraient jamais être partagés avec un tiers, c’est impossible!

Voici comment la technologie de Refleviz fonctionne pour découvrir de telles vulnérabilités avant de se transformer en risques de sécurité sérieux.

Le correctif

La plate-forme de sécurité automatisée de Refleviz a été utilisée pour surveiller l’environnement Web du détaillant. Au cours d’une analyse de routine, Refleviz a identifié une anomalie avec le pixel Facebook. Il s’est avéré interagir avec incorrecte la page, accédant à des jetons CSRF et à d’autres données sensibles. Grâce à une surveillance continue et à une analyse comportementale profonde, ReflectIz a détecté cette transmission de données non autorisée dans les heures suivant la violation. C’était un peu comme partager les clés de leur maison ou le mot de passe de leur compte bancaire. Ce sont des actions que d’autres pourraient exploiter à l’avenir.

Refleviz a agi rapidement, fournissant un rapport détaillé au détaillant. Le rapport a décrit la mauvaise configuration et a recommandé des actions immédiates, telles que les modifications de configuration dans le code de pixel Facebook, pour empêcher le pixel d’accéder aux données sensibles.

Protection des données Les régulateurs adoptent une faible vue de votre entreprise même s’il éclate accidentellement ce type d’informations restreintes avec des tiers non autorisés, et les amendes peuvent facilement rencontrer des millions de dollars. C’est pourquoi les 10 à 11 minutes vous emmèneront à Lire l’étude de cas complète Cela pourrait être le meilleur investissement de temps que vous faites toute l’année.

Étapes suivantes

Les recommandations de Refleviz ne se sont pas seulement arrêtées avec des solutions immédiates; Ils ont jeté les bases d’améliorations en cours de sécurité et de protection à long terme. Voici comment protéger votre entreprise contre les risques similaires:

  1. Audits de sécurité réguliers:
    • Surveillance continue: implémentez un système de surveillance continue Pour suivre tous les scripts tiers et leur comportement sur votre site Web. Cela vous aidera à détecter les vulnérabilités potentielles et les erreurs de configuration en temps réel, empêchant les risques de sécurité avant qu’ils ne dégénèrent.
    • Audits de sécurité périodiques: planifier des audits réguliers pour s’assurer que toutes les mesures de sécurité sont à jour. Cela comprend la vérification des vulnérabilités dans vos intégrations tierces et la conformité aux dernières normes de sécurité et meilleures pratiques.
  2. Gestion des scripts tiers:
    • Évaluer et contrôler les scripts tiers: examinez tous les scripts tiers de votre site Web, tels que le suivi des pixels et des outils d’analyse. Limitez l’accès que ces scripts ont des données sensibles et s’assurer qu’ils ne reçoivent que les données nécessaires à leur fonction.
    • Utilisez des partenaires de confiance: travaillez uniquement avec des fournisseurs tiers qui répondent aux normes de sécurité et de confidentialité strictes. Assurez-vous que leurs pratiques de sécurité s’alignent avec les besoins de votre entreprise pour empêcher le partage de données non autorisé.
  3. Protection des jetons CSRF:
    • Cookies httponly: Suivez la recommandation de Refleviz pour stocker les jetons CSRF dans les cookies httponly, ce qui empêche le JavaScript (y compris les scripts tiers) d’y accéder. Il s’agit d’une mesure clé dans la protection des jetons contre l’accès non autorisé par des fournisseurs tiers.
    • Appliquer des attributs de cookies sécurisés: assurez-vous que tous les jetons CSRF sont stockés avec des attributs sécurisés et nommés = stricts pour les protéger contre les demandes d’origine transversale et atténuer le risque d’exposition par le biais de scripts tiers malveillants.
  4. Confidentialité par conception:
    • Intégrer la confidentialité dans votre processus de développement: dans le cadre de vos processus de développement et de déploiement, adoptez un Approche de conception de la confidentialité. Assurez-vous que les considérations de confidentialité sont à l’avant-garde, de la façon dont les données sont stockées à la façon dont les scripts tiers interagissent avec votre site.
    • Gestion du consentement des utilisateurs: Mettez régulièrement à jour vos pratiques de collecte de données, en veillant à ce que les utilisateurs contrôlent les données qu’ils partagent. Obtenez toujours un consentement clair et éclairé avant de partager des données sensibles avec des tiers.
  5. Éduquez votre équipe:
    • Formation en sécurité: assurez-vous que vos équipes de développement et de sécurité sont bien formées dans les derniers protocoles de sécurité, en particulier liés à la confidentialité des données et à la protection du CSRF. La sensibilisation et la compréhension des risques de sécurité sont les premières étapes pour prévenir des problèmes comme celui-ci.
    • Collaboration croisée: assurez-vous que les équipes de marketing et de sécurité sont alignées, en particulier lorsque vous utilisez des outils tiers comme le Pixel Facebook. Les deux équipes devraient travailler ensemble pour s’assurer que les problèmes de sécurité et de confidentialité sont pris en compte lors de la mise en œuvre de ces outils.
  6. Adopter une approche zéro-trust:
    • Modèle de sécurité Zero-Cust: Envisagez d’adopter une approche de sécurité zéro. Ce modèle suppose que tous les utilisateurs, à l’intérieur et à l’extérieur du réseau, ne sont pas fiables et vérifient chaque demande avant d’accorder un accès. En appliquant cette philosophie aux échanges de données entre votre site et les services tiers, vous pouvez minimiser l’exposition aux risques.

En mettant en œuvre ces prochaines étapes, vous pouvez renforcer de manière proactive votre posture de sécurité, protéger vos données sensibles et prévenir les problèmes similaires à l’avenir. Les informations de Refleviz fournissent la feuille de route pour construire un environnement Web plus résilient et sécurisé. Protéger votre entreprise contre les menaces émergentes est un effort continu, mais avec les bons processus et outils en place, vous pouvez vous assurer que vos systèmes restent sécurisés et conformes.

Téléchargez l’étude de cas complète ici.

Vous avez trouvé cet article intéressant? Cet article est un article contribué de l’un de nos précieux partenaires. Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57