Get in Touch

Serangan Siber yang Menargetkan Aplikasi E-commerce

Serangan siber terhadap aplikasi e-niaga adalah tren umum pada tahun 2023 seiring dengan semakin berkembangnya bisnis e-niaga menjadi omnichannel, mereka semakin banyak membangun dan menerapkan antarmuka API, dan pelaku ancaman terus mencari lebih banyak cara untuk mengeksploitasi kerentanan. Inilah sebabnya mengapa pengujian rutin dan pemantauan berkelanjutan diperlukan untuk sepenuhnya melindungi aplikasi web, mengidentifikasi kelemahan sehingga dapat diatasi dengan cepat.

Pada artikel ini, kita akan membahas serangan platform e-commerce Honda baru-baru ini, bagaimana kejadiannya, dan dampaknya terhadap bisnis dan kliennya. Selain pentingnya pengujian keamanan aplikasi, kami juga akan membahas berbagai area pengujian kerentanan dan berbagai tahapannya.

Terakhir, kami akan memberikan rincian tentang bagaimana solusi pencegahan jangka panjang seperti PTaaS dapat melindungi bisnis e-commerce dan perbedaan antara pengujian berkelanjutan (PTaaS) dan pengujian pena standar.

Serangan Platform E-commerce Honda 2023

Platform perdagangan peralatan listrik, rumput, taman, dan produk kelautan Honda mengandung kelemahan API yang memungkinkan siapa pun meminta pengaturan ulang kata sandi untuk akun mana pun.

Kerentanan ini ditemukan oleh peneliti Eaton Zveare yang baru-baru ini menemukan kelemahan keamanan utama dalam portal pemasok Toyota. Dengan mengatur ulang kata sandi akun tingkat yang lebih tinggi, pelaku ancaman diberikan akses data tingkat admin di jaringan perusahaan tanpa batasan. Jika ditemukan oleh penjahat dunia maya, hal ini akan mengakibatkan pelanggaran data berskala besar dengan konsekuensi yang sangat besar.

Zverare mengatakan: “Kontrol akses yang rusak/hilang memungkinkan untuk mengakses semua data di platform, bahkan ketika masuk sebagai akun pengujian.”

Ini memungkinkan penguji mengakses informasi berikut:

  • Hampir 24.000 pesanan pelanggan di seluruh dealer Honda dari Agustus 2016 hingga Maret 2023; ini termasuk nama pelanggan, alamat, dan nomor telepon.
  • 1.091 situs web dealer aktif dengan kemampuan untuk memodifikasi situs ini.
  • 3.588 pengguna/akun dealer – termasuk detail pribadi.
  • 11.034 email pelanggan – termasuk nama depan dan belakang.
  • 1.090 email dealer.
  • Laporan keuangan internal Honda.

    • Dengan informasi di atas, penjahat dunia maya dapat melakukan berbagai aktivitas, mulai dari kampanye phishing hingga serangan rekayasa sosial dan menjual informasi secara ilegal di web gelap. Dengan tingkat akses ini, malware juga dapat dipasang di situs web dealer untuk mencoba melakukan skim pada kartu kredit.

    Bagaimana Kerentanan Ditemukan

    Pada platform e-commerce Honda, subdomain “powerdealer.honda.com” ditetapkan ke dealer terdaftar. Zveare menemukan bahwa API pengaturan ulang kata sandi di salah satu situs Honda, Power Equipment Tech Express (PETE), sedang memproses permintaan pengaturan ulang tanpa memerlukan kata sandi sebelumnya.

    Alamat email yang valid ditemukan melalui video YouTube yang menyediakan demo dasbor dealer menggunakan akun uji. Setelah diatur ulang, kredensial login ini dapat digunakan di portal login subdomain e-commerce Honda mana pun, yang menyediakan akses ke data dealer internal.

    Selanjutnya, penguji perlu mengakses akun dealer sungguhan tanpa risiko terdeteksi dan tanpa perlu mengatur ulang kata sandi ratusan akun. Untuk melakukan hal ini, Zveare menemukan kelemahan JavaScript pada platform, penetapan ID pengguna secara berurutan, dan kurangnya keamanan akses. Dengan demikian, akun live dapat ditemukan dengan menambah ID pengguna sebanyak satu hingga tidak ada hasil lainnya.

    Terakhir, panel admin platform dapat diakses sepenuhnya dengan memodifikasi respons HTTP agar tampak seolah-olah akun yang dieksploitasi adalah admin.

    Pada tanggal 3 April 2023, Honda melaporkan bahwa semua bug telah diperbaiki setelah temuan tersebut pertama kali dilaporkan kepada mereka pada tanggal 16 Maret 2023. Eaton Zveare tidak menerima imbalan finansial atas pekerjaannya karena perusahaan tersebut tidak memiliki program bug bounty.

    Pentingnya Pengujian Keamanan Aplikasi E-commerce

    Pengujian keamanan aplikasi e-niaga sangat penting untuk melindungi informasi pribadi dan keuangan setiap orang yang terkait dengan aplikasi tersebut, termasuk pelanggan, dealer, dan vendor. Frekuensi serangan siber terhadap aplikasi e-commerce tinggi, sehingga diperlukan perlindungan yang memadai untuk mencegah pelanggaran data yang dapat merusak reputasi bisnis dan menyebabkan kerugian finansial.

    Kepatuhan terhadap peraturan di sektor e-commerce juga ketat, dan perlindungan data menjadi hal yang sangat penting bagi bisnis untuk menghindari sanksi finansial. Sebuah aplikasi memerlukan lebih dari sekedar fitur keamanan terbaru, setiap komponen perlu diuji dan diikuti praktik terbaik untuk mengembangkan strategi keamanan siber yang kuat.

    Ancaman Cyber ​​Terhadap Aplikasi E-commerce

  • Pengelabuan – Phishing adalah jenis serangan rekayasa sosial yang bertujuan mengelabui korban agar mengeklik tautan ke situs web atau aplikasi berbahaya. Hal ini dilakukan dengan mengirimkan email atau SMS yang dibuat seolah-olah dikirim dari sumber terpercaya, seperti bank atau rekan kerja. Begitu berada di situs jahat tersebut, pengguna bisa memasukkan data seperti kata sandi atau nomor rekening yang akan dicatat.
  • Perangkat lunak perusak/ Ransomware – Setelah terinfeksi malware, berbagai aktivitas dapat terjadi pada sistem, seperti mengunci orang dari akun mereka. Penjahat dunia maya kemudian meminta pembayaran untuk memberikan kembali akses ke akun dan sistem – ini dikenal sebagai ransomware. Namun, ada beragam malware yang melakukan tindakan berbeda.
  • E-Skimming – E-skimming mencuri rincian kartu kredit dan data pribadi dari halaman pemrosesan kartu pembayaran di situs web e-commerce. Hal ini dicapai melalui serangan phishing, serangan brute force, XSS, atau mungkin dari situs web pihak ketiga yang disusupi.
  • Skrip Lintas Situs (XSS) – XSS menyuntikkan kode berbahaya ke halaman web untuk menargetkan pengguna web. Kode ini, biasanya Javascript, dapat merekam input pengguna atau memantau aktivitas halaman untuk mengumpulkan informasi sensitif.
  • Injeksi SQL – Jika aplikasi e-niaga menyimpan data dalam database SQL, maka serangan injeksi SQL dapat memasukkan kueri berbahaya yang memungkinkan akses tidak sah ke konten database jika tidak dilindungi dengan benar. Selain dapat melihat data, dalam beberapa kasus juga dimungkinkan untuk memanipulasinya.

    • Berbagai Area Pengujian Kerentanan

    Biasanya terdapat 8 area kritis dalam pengujian kerentanan, dan metodologinya dapat dipecah menjadi 6 fase.

    8 Area Pengujian Kerentanan

  • Penilaian Kerentanan Berbasis Aplikasi Web
  • Penilaian Kerentanan Berbasis API
  • Penilaian Kerentanan Berbasis Jaringan
  • Penilaian Kerentanan Berbasis Host
  • Penilaian Kerentanan Fisik
  • Penilaian Kerentanan Jaringan Nirkabel
  • Penilaian Kerentanan Berbasis Cloud
  • Penilaian Kerentanan Rekayasa Sosial

    • 6 Fase Metodologi Penilaian Kerentanan

  • Menentukan aset kritis dan berisiko tinggi
  • Lakukan penilaian kerentanan
  • Melakukan analisis kerentanan dan penilaian risiko
  • Memperbaiki kerentanan apa pun – Misalnya, menerapkan patch keamanan atau memperbaiki masalah konfigurasi.
  • Menilai bagaimana sistem dapat ditingkatkan untuk keamanan optimal.
  • Laporkan hasil penilaian dan tindakan yang dilakukan.

    • Pentesting Sebagai Layanan (PTaaS)

    Penetration Testing as a Service (PTaaS) adalah platform penyampaian pengujian penetrasi reguler dan hemat biaya sekaligus meningkatkan kolaborasi antara penyedia pengujian dan klien mereka. Hal ini memungkinkan bisnis dan organisasi untuk mendeteksi kerentanan lebih sering.

    PTaaS vs. Pengujian Pena Tradisional

    Pengujian penetrasi tradisional dilakukan berdasarkan kontrak dan seringkali memakan banyak waktu. Inilah sebabnya mengapa pengujian semacam ini hanya dapat dilakukan satu atau dua kali dalam setahun. PTaaS, di sisi lain, memungkinkan pengujian berkelanjutan, bahkan setiap kali kode diubah. PTaaS melakukan penilaian secara real-time dan berkelanjutan menggunakan kombinasi alat pemindaian otomatis dan teknik manual. Hal ini memberikan pendekatan yang lebih berkelanjutan terhadap kebutuhan keamanan dan mengisi kesenjangan yang terjadi pada pengujian tahunan.

    Klik di sini untuk mempelajari lebih lanjut tentang manfaat PTaaS dengan meminta demo langsung platform SWAT yang dikembangkan oleh Outpost24.

    Kesimpulan

    Serangan siber terhadap situs e-commerce sering terjadi, dan bahkan platform yang dibangun oleh perusahaan global seperti Honda memiliki kerentanan kritis yang ditemukan dalam 12 bulan terakhir.

    Pengujian keamanan diperlukan untuk menilai keseluruhan serangan aplikasi e-commerce, melindungi bisnis dan penggunanya dari serangan cyber seperti phishing atau e-skimming.

    Pengujian penetrasi sebagai layanan adalah salah satu cara terbaik untuk melindungi platform, dengan melakukan pemindaian rutin untuk memberikan penilaian kerentanan berkelanjutan sehingga dapat dimitigasi sesegera mungkin.

    Apakah artikel ini menarik? Ikuti kami di Twitter  dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.

    Source link

    You may also like

    Leave a Reply

    Your email address will not be published. Required fields are marked *