行业新闻与博客

CyCognito 的最新研究表明，由于电子商务网络应用程序中存在重大安全漏洞，数百万在线购物者的个人身份信息 (PII) 可能面临风险。

该研究已在 2023 年黑色星期五和网络星期一之前发布，届时数百万消费者将涌向电子商务网站寻找购物优惠。大多数此类网站都会在此过程中存储地址和信用卡详细信息等 PII。

研究人员警告说，这些网站中很大一部分缺乏基本的安全协议，并且包含可利用的漏洞。

CyCognito 在 2023 年 9 月分析其全球客户群时发现，超过四分之一 (28%) 的电子商务 Web 应用程序缺乏 Web 应用程序防火墙 (WAF)，其中 24% 的应用程序收集 PII。

此外，其中 2% 的应用程序仍然缺乏 HTTPS，这是一种使用加密技术通过计算机网络进行安全通信的互联网协议。全球有超过 2600 万家电子商务商店，如果复制这一数字，可能会影响 520,000 个网站。

研究称，总共 58% 的电子商务网络应用程序收集用户 PII。

研究人员还透露，78% 的电子商务网络应用程序未能要求用户同意 cookie，这可能导致它们违反 GDPR 等数据隐私法规。

电子商务网站中的可利用漏洞

近一半 (48%) 受监控的 Web 应用程序存在一个或多个加密漏洞，而大约三分之一 (31%) 至少存在一个易于利用的问题。

研究人员还发现，2% 的应用程序至少存在一个严重的安全问题，其中一半的应用程序持有 PII。在这些关键问题中，76% 很容易被利用。

此外，7% 的电子商务 Web 应用程序至少存在 OWASP 十大安全问题列表中的一个安全问题。

13% 的受监控应用程序中发现了证书有效性问题，这可能使服务器的身份不再受信任。

研究人员写道：“网络星期一充满了紧迫性——对购物者来说，获得优惠的紧迫性，以及零售商利用一年中最大的电子商务日的紧迫性。

“网络犯罪分子利用这种紧迫性来利用错误配置和漏洞，这可能会在此过程中对粗心的组织造成巨大的声誉损害。”

零售商如何提高在线安全性

CyCognito 向零售商提供了以下建议，以增强其电子商务应用程序的安全性：

• 检查“容易实现的目标”，例如丢失的 WAF 或过期的证书，这些可能是更严重的安全问题的指标
• 优先考虑持续测试，让您的安全团队有时间识别和修复可能导致 PII 被盗的严重漏洞
• 检查您是否遵守相关的网络安全和数据隐私法规，例如 PCI DSS 和 GDPR