+7 499 136 2766
info@compliance-control.ru
Проверка сертификата
Search

Ахиллесова пята маркетплейсов: опыт Compliance Control по защите заказов от злоумышленников

Главная / Ахиллесова пята маркетплейсов: опыт Compliance Control по защите заказов от злоумышленников

Почему уязвимости в архитектуре маркетплейсов становятся каналом для мошенников и как бизнесу защитить клиентов? Специалисты Compliance Control разобрали реальный кейс и предложили решения.

Compliance Control: эксперт в безопасности финансов и e-commerce

Команда Compliance Control — лидер FinTech и банковской сферы в обеспечении соответствия требованиям различных стандартов информационной безопасности.
Мы занимаемся выявлением различных уязвимостей в технологиях, внедренных в цифровую инфраструктуру банков и платёжных систем.

Наш опыт показывает, что серьёзные риски встречаются не только в финансовой сфере. Всё чаще объектами атак становятся маркетплейсы и онлайн-магазины. Именно e-commerce становится привлекательной целью для злоумышленников. В этой статье мы делимся реальным кейсом из нашей практики и рассказываем, как компании могут защититься от подобных угроз.

Как ошибки бизнес-логики открывают путь к чужим заказам

В ходе тестирования на проникновение различных компаний, наша команда неоднократно сталкивалась с однотипной уязвимостью бизнес-логики в приложениях интернет-магазинов. Такая уязвимость могла привести к тому, что злоумышленники получали доступ к чужим и уже оплаченным заказам.

Сценарий атаки был достаточно прост. Наши пентестеры во время исследования оформили и оплатили заказ на товар, действуя как обычный пользователь через приложение. Однако при получении заказа, от покупателя требуется назвать лишь последние четыре цифры номера заказа. Эти номера формируются по принципу инкрементальных шагов: при каждом новом заказе цифры номера увеличиваются на единицу по сравнению с предыдущим шагом.

Дополнительной проверки не предусматривалось — клиент не получал SMS-код или уведомление в приложении. В результате злоумышленнику достаточно было перебрать несколько комбинаций, чтобы получить чужую покупку.

Опасность усугубляется и другими векторами. В веб-приложениях могут быть уязвимости, которые раскрывают существующие заказы. Если известен один идентификатор, злоумышленник способен перебором подобрать и остальные.

Что стоит на кону для маркетплейсов

Отсутствие дополнительного фактора проверки подлинности делает процесс выдачи заказов уязвимым. Это открывает сразу несколько сценариев для злоумышленников.

Во-первых, скомпрометированный механизм позволяет злоумышленникам подобрать последние цифры номера заказа и получить чужую покупку в пункте выдачи.

Во-вторых, опасность представляют и внутренние нарушители. Сотрудники, имеющие доступ к информации о заказах, могут передавать идентификаторы третьим лицам и использовать их во вред компании.

Наконец, остается фактор социальной инженерии. Злоумышленники способны выманить у клиента код заказа и использовать его для получения чужого товара.

Все эти сценарии объединяет одно — компания несет прямые финансовые потери и репутационный ущерб, поскольку клиенты перестают доверять площадке, где их заказы могут быть украдены.

Как бизнесу защитить маркетплейс от краж заказов: советы Compliance Control

Закрыть подобные уязвимости возможно только системным подходом. Одним из основных решений является внедрение обязательной аутентификации при выдаче заказа. Это может быть подтверждение личности по документу, SMS-код, QR-код в приложении или полная проверка ФИО и телефона клиента.

Не менее важно выстроить систему логирования и оповещений, которая позволит отслеживать повторные или ошибочные выдачи и своевременно реагировать на подозрительные ситуации.

Отдельное внимание стоит уделить сотрудникам. Персонал должен быть обучен процедурам безопасной выдачи заказов, а правила зафиксированы в регламентах. Именно человеческий фактор часто становится слабым звеном, поэтому его необходимо учитывать наряду с техническими решениями.

Грамотное продумывание бизнес-логики приложений и своевременное выявление уязвимостей — очень важная составляющая безопасности компании. Выявление уязвимостей позволяют избежать не только финансовых потерь, но и репутационных рисков, которые для e-commerce зачастую оказываются критичнее прямых убытков.