bencede
New member
İnternet erişimi olan tüm Almanların yüzde 90’ından fazlası en azından ara sıra çevrimiçi alışveriş yapıyor ve yüzde 55’i bunu ayda bir veya birkaç kez yapıyor. Ayrıca genellikle banka bilgilerini, kredi kartını ve diğer ödeme ayrıntılarını da sağlarlar. Ancak, çevrimiçi mağazaların kurulduğu platformlar, bazıları ciddi olan çok sayıda güvenlik açığına sahiptir. Federal Bilgi Güvenliği Ofisi (BSI) bunu sızma testleri sırasında keşfetti. Uzmanlar, son zamanlarda e-ticaret sektöründeki çeşitli veri sızıntılarını ve bilgisayar korsanlarını desteklemiş olabilecek, test edilen her yazılımdaki güvenlik açıklarını tespit edebildi.
Ciddi sonuçları olan eksiklikler
BSI tarafından Pazartesi günü yayınlanan çalışmanın bir parçası olarak, denetçiler rastgele seçilen on yazılım ürünü Commerce:seo, Gambio, Magento, Merconis for Contao, Prestashop, Shopware, Sylius, WpShopGermany, Xonic ve Zen Cart’ı inceledi. Bazıları tüketici verilerinin siber güvenlik düzeyi üzerinde potansiyel olarak ciddi etkileri olabilecek toplam 78 güvenlik açığı buldular. Güvenlik test uzmanları, bir platformda “yalnızca” iki ve diğer iki durumda 17 güvenlik açığı belirledi. Test edilen tüm ürünlerde bir güvenlik açığı meydana gelirken, bazı sorunlar bireysel geliştirme hatalarından kaynaklanıyordu.
Spesifik olarak, incelenen programların neredeyse tamamı yetersiz bir parola politikasına sahipti. Çoğu zaman bu şekilde güvenli bir dükkan açmak bile mümkün olmuyordu. Ek tüketici hesabı koruması için iki faktörlü kimlik doğrulama ayarlamak genellikle mümkün değildir. Ekip, on platformdan yedisinde JavaScript kitaplıklarını bilinen güvenlik açıklarına karşı savunmasız buldu. Bu, yaygın BT saldırılarını basitleştirir. Değerlendirilen ürünlerin yarısı artık üreticiden güvenlik güncellemesi almıyordu. Beş durumda, yönetici müşterinin erişimini atlamayı başardı. Dördünde, içeriği hassas kabul edilen bilgiler halka açıktı.
Yama uygulanmamış güncel olmayan bileşenler
Düzeltme eki uygulanmamış “kullanım ömrünün sonuna gelmiş yazılımlara” ek olarak, gözden geçirenler sözde siteler arası istek sahteciliği saldırılarını, uzaktan kod yürütmeyi, güvenli olmayan dosya yüklemelerini ve devam eden siteler arası komut dizisini en yüksek risk derecesine sahip güvenlik açıkları olarak sınıflandırdılar. BSI sonuçları önce “Sorumlu İfşa” prosedürü kapsamında ilgili üreticilere gönderdi. Bazı durumlarda, daha sonra zamanında güvenlik güncellemeleri sağladılar. Bu süreçte bazı geliştirme şirketleri, çevrimiçi mağazanın daha iyi yapılandırılmasıyla bazı eksikliklerin giderilebileceğini de bildirdi. Buradan BSI, üreticilerin operatörlere mağazalarını nasıl güvenli bir şekilde kuracakları ve donatacakları konusunda rehberlik sağlamaları gerektiği sonucuna varıyor.
Almanya’daki tüketiciler üzerinde yapılan temsili bir anket, tüm Alman vatandaşlarının yaklaşık dörtte birinin çevrimiçi alışveriş yaparken veri sızıntılarından zaten etkilendiğini göstermiştir. Katılımcıların yarısı bu tür kişisel bilgi sızıntılarıyla ilgili endişelerini dile getirdi. Genel olarak, yanıt verenlerin çoğu, verilerini korumak için güçlü parolalar kullanmak veya alışverişten sonra açıkça oturumu kapatmak gibi bir veya daha fazla önlemin farkındadır ve çoğu bunları da kullanır. BSI Başkan Yardımcısı Gerhard Schabhüser, üreticileri güvenlik açığı analizleri yapmaları ve ürün geliştirme sırasında mümkün olduğunca erken ve sonrasında düzenli olarak güvenlik seviyesini artırmaları konusunda uyardı.
(iki)
Haberin Sonu
Ciddi sonuçları olan eksiklikler
BSI tarafından Pazartesi günü yayınlanan çalışmanın bir parçası olarak, denetçiler rastgele seçilen on yazılım ürünü Commerce:seo, Gambio, Magento, Merconis for Contao, Prestashop, Shopware, Sylius, WpShopGermany, Xonic ve Zen Cart’ı inceledi. Bazıları tüketici verilerinin siber güvenlik düzeyi üzerinde potansiyel olarak ciddi etkileri olabilecek toplam 78 güvenlik açığı buldular. Güvenlik test uzmanları, bir platformda “yalnızca” iki ve diğer iki durumda 17 güvenlik açığı belirledi. Test edilen tüm ürünlerde bir güvenlik açığı meydana gelirken, bazı sorunlar bireysel geliştirme hatalarından kaynaklanıyordu.
Spesifik olarak, incelenen programların neredeyse tamamı yetersiz bir parola politikasına sahipti. Çoğu zaman bu şekilde güvenli bir dükkan açmak bile mümkün olmuyordu. Ek tüketici hesabı koruması için iki faktörlü kimlik doğrulama ayarlamak genellikle mümkün değildir. Ekip, on platformdan yedisinde JavaScript kitaplıklarını bilinen güvenlik açıklarına karşı savunmasız buldu. Bu, yaygın BT saldırılarını basitleştirir. Değerlendirilen ürünlerin yarısı artık üreticiden güvenlik güncellemesi almıyordu. Beş durumda, yönetici müşterinin erişimini atlamayı başardı. Dördünde, içeriği hassas kabul edilen bilgiler halka açıktı.
Yama uygulanmamış güncel olmayan bileşenler
Düzeltme eki uygulanmamış “kullanım ömrünün sonuna gelmiş yazılımlara” ek olarak, gözden geçirenler sözde siteler arası istek sahteciliği saldırılarını, uzaktan kod yürütmeyi, güvenli olmayan dosya yüklemelerini ve devam eden siteler arası komut dizisini en yüksek risk derecesine sahip güvenlik açıkları olarak sınıflandırdılar. BSI sonuçları önce “Sorumlu İfşa” prosedürü kapsamında ilgili üreticilere gönderdi. Bazı durumlarda, daha sonra zamanında güvenlik güncellemeleri sağladılar. Bu süreçte bazı geliştirme şirketleri, çevrimiçi mağazanın daha iyi yapılandırılmasıyla bazı eksikliklerin giderilebileceğini de bildirdi. Buradan BSI, üreticilerin operatörlere mağazalarını nasıl güvenli bir şekilde kuracakları ve donatacakları konusunda rehberlik sağlamaları gerektiği sonucuna varıyor.
Almanya’daki tüketiciler üzerinde yapılan temsili bir anket, tüm Alman vatandaşlarının yaklaşık dörtte birinin çevrimiçi alışveriş yaparken veri sızıntılarından zaten etkilendiğini göstermiştir. Katılımcıların yarısı bu tür kişisel bilgi sızıntılarıyla ilgili endişelerini dile getirdi. Genel olarak, yanıt verenlerin çoğu, verilerini korumak için güçlü parolalar kullanmak veya alışverişten sonra açıkça oturumu kapatmak gibi bir veya daha fazla önlemin farkındadır ve çoğu bunları da kullanır. BSI Başkan Yardımcısı Gerhard Schabhüser, üreticileri güvenlik açığı analizleri yapmaları ve ürün geliştirme sırasında mümkün olduğunca erken ve sonrasında düzenli olarak güvenlik seviyesini artırmaları konusunda uyardı.
(iki)
Haberin Sonu