Güvenlik Operasyonları
BSI Çalışması Eski Yazılımları, Savunmasız JavaScript Kitaplıklarını Buluyor
Bay Mihir (MihirBagwe) •
27 Şubat 2023
Alman siber güvenlik ajansı tarafından e-ticaret siteleri tarafından kullanılan çevrimiçi alışveriş sepeti yazılımına yönelik bir değerlendirme, artık desteklenmeyecek kadar eski kodlar ve savunmasız JavaScript kitaplıkları da dahil olmak üzere bir dizi güvenlik açığı buldu.
Ayrıca bakınız: MITRE ATT&CK 4. Tur için Temel Kılavuz
Federal Bilgi Güvenliği Ofisi – daha çok Almanca kısaltması olan BSI ile bilinir – çevrimiçi mağazalar tarafından işlenen büyük miktardaki hassas tüketici verileriyle ilgili endişeleri nedeniyle üçüncü taraf web mağazası sistemlerini incelediğini söyledi.
Almanya, Avrupa’nın en büyük e-ticaret pazarlarından birine sahiptir. Her 10 sakinden yaklaşık 8’i çevrimiçi mağazalarda para harcıyor ve 2021’de 127,5 milyar dolar değerinde bir pazar yaratıyor.
Almanların yeni koronavirüs salgını sırasında çevrimiçi alışverişi daha da fazla kullandığı göz önüne alındığında, bu sayı o zamandan beri yalnızca arttı. BSI, internet erişimi olan bireylerin %90’ının en azından ara sıra, genellikle bir akıllı telefondan çevrimiçi alışveriş yaptığını tahmin etmektedir.
Pazartesi günü yayınlanan bir çalışma için BSI yetkilileri, aralarında Magento, Zen Cart ve PrestaShop’un da bulunduğu 10 e-ticaret ödeme platformunu inceledi.
Alman yetkililer, 10 platformun hepsinin, hassas bilgileri otomatik tamamlama yoluyla form alanlarından üçüncü taraflara potansiyel olarak iletmenin düşük seviyeli güvenlik açığını paylaştığını söylüyor. 10 kişiden dokuzu, kullanıcıların güçlü parolalar kullanmasını gerektirmedi – bu, BSI’nın orta riskli olarak sınıflandırdığı bir güvenlik açığıdır.
Belirsiz sayıda platform, kullanım ömrünün sonuna gelmiş yazılımlar kullandı, bu da yeni hataların resmi yamalar almadığı anlamına geliyor. Araştırmacılar, siteler arası istek sahteciliğine açık bir site ve siteler arası komut dosyası çalıştırma riski taşıyan üç site buldu.
BSI tarafından yürütülen bir ankette, yanıt verenlerin yaklaşık dörtte biri çevrimiçi alışveriş yaparken “veri güvenliğiyle ilgili olumsuz deneyimler” bildirdi.
BSI, Almanya’nın siber uzayının artan seviyelerde siber suç yaşadığını değerlendiriyor. Ajansın geçici başkanı Gerhard Schabhüser, çalışma sonuçlarını e-ticaret platformlarını güvenliklerini artırmaya teşvik etmek için kullandı. “Yazılım üreticileri, ürün geliştirme aşamasında düzenli güvenlik açığı analizi yapmalıdır” dedi.