行业新闻与博客
黑色星期五:电子商务 Web 应用程序中存在重大安全漏洞
CyCognito 的最新研究表明,由于电子商务网络应用程序中存在重大安全漏洞,数百万在线购物者的个人身份信息 (PII) 可能面临风险。
该研究已在 2023 年黑色星期五和网络星期一之前发布,届时数百万消费者将涌向电子商务网站寻找购物优惠。大多数此类网站都会在此过程中存储地址和信用卡详细信息等 PII。
研究人员警告说,这些网站中很大一部分缺乏基本的安全协议,并且包含可利用的漏洞。
CyCognito 在 2023 年 9 月分析其全球客户群时发现,超过四分之一 (28%) 的电子商务 Web 应用程序缺乏 Web 应用程序防火墙 (WAF),其中 24% 的应用程序收集 PII。
此外,其中 2% 的应用程序仍然缺乏 HTTPS,这是一种使用加密技术通过计算机网络进行安全通信的互联网协议。全球有超过 2600 万家电子商务商店,如果复制这一数字,可能会影响 520,000 个网站。
研究称,总共 58% 的电子商务网络应用程序收集用户 PII。
研究人员还透露,78% 的电子商务网络应用程序未能要求用户同意 cookie,这可能导致它们违反 GDPR 等数据隐私法规。
电子商务网站中的可利用漏洞
近一半 (48%) 受监控的 Web 应用程序存在一个或多个加密漏洞,而大约三分之一 (31%) 至少存在一个易于利用的问题。
研究人员还发现,2% 的应用程序至少存在一个严重的安全问题,其中一半的应用程序持有 PII。在这些关键问题中,76% 很容易被利用。
此外,7% 的电子商务 Web 应用程序至少存在 OWASP 十大安全问题列表中的一个安全问题。
13% 的受监控应用程序中发现了证书有效性问题,这可能使服务器的身份不再受信任。
研究人员写道:“网络星期一充满了紧迫性——对购物者来说,获得优惠的紧迫性,以及零售商利用一年中最大的电子商务日的紧迫性。
“网络犯罪分子利用这种紧迫性来利用错误配置和漏洞,这可能会在此过程中对粗心的组织造成巨大的声誉损害。”
零售商如何提高在线安全性
CyCognito 向零售商提供了以下建议,以增强其电子商务应用程序的安全性:
- 检查“容易实现的目标”,例如丢失的 WAF 或过期的证书,这些可能是更严重的安全问题的指标
- 优先考虑持续测试,让您的安全团队有时间识别和修复可能导致 PII 被盗的严重漏洞
- 检查您是否遵守相关的网络安全和数据隐私法规,例如 PCI DSS 和 GDPR
最近新闻
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
需要帮助吗?联系我们的支持团队 在线客服