Büyük ölçekli operasyonlar ve perakende endüstrisinin kapsamlı saldırı yüzeyi, onu küresel ölçekte siber suçlara özellikle duyarlı hale getirmektedir. Web siteleri, mobil uygulamalar ve şirket programları kötü amaçlı aktörler için çok sayıda giriş noktası oluşturur. Ödeme işlemlerinin yüksek hacmi ve başarılı saldırıların finansal teşvikleri, kötü aktörler için cazip bir fırsat sunmaktadır. Müşteri verileri de önemli bir cazibedir, çünkü adresler, kredi kartı detayları, alışveriş geçmişi ve kullanıcı tercihleri dahil olmak üzere bu bilgiler, ek kâr için karanlık web’deki siber suçlulara satılabilir.
Perakende içindeki önemli bir güvenlik sorunu, şirketlerin izlenmesi ve kontrol edilmesi zor olabilecek birçok farklı sistem ve tedarik zinciri kullanmasıdır. Uygun şekilde güvence altına alınmazsa, üçüncü taraf satıcılar tüm tedarik zincirini etkileyebilir, e-ticaret platformlarını, müşteri ilişkileri yönetim sistemlerini ve envanter yönetim sistemlerini savunmasız bırakabilir.
Bir mağaza olan Neiman Marcus, Mayıs 2024’te bulut depolama şirketi Snowflake’in hedeflendiği ve müşteri adlarının ve iletişim bilgilerinin yayınlandığı bir veri ihlali bildirdi.
UNC5537 olarak izlenen tehdit oyuncusu, bir siber suç forumunda satılık Ticketmaster ve Santander’dan reklam verilerinin gözlemlendiği gözlendi. Aynı forumda UNC5537, kar tanesi bulut veri ambarı ihlal ettiklerini açıkladı ve veritabanı 150.000 dolara satıldı. UNC5537, sömürülen kimlik bilgilerini ve 31 milyondan fazla müşteri e -posta adresi kullanarak kabaca 165 şirket hesabına erişmiş olabilir.
Bu nedenle şirketlerin üçüncü taraf hizmetleri kullanmadan önce tedarik zincirlerini ve siber güvenliğini kontrol etmeleri gerekir.
‘Satışla! Satmak! Satmak!’ Zihniyet, duruş süresi, temel güvenlik önlemleri gerekse bile, sektörde nadiren kabul edilir. Sonuç olarak, güvenlik genellikle atlanır ve sistemler tamamen yamalanabilir veya tamamen takılabilir.
Tatil mevsimleri boyunca hedeflenen tehditler ve Siber Pazartesi veya Black Friday anlaşmaları gibi döngüsel teklifler, kötü aktörlerin hem satıcıyı hem de müşteriyi etkileyen hedeflenen sosyal mühendislik ve kimlik avı kampanyalarını yayınlamaları için ek bir fırsat sunuyor.
Bunun bir örneği en son Krispy Kreme veri ihlalinde gözlemlenebilir. Financial Times tarafından Aralık 2024’te yayınlanan bir makalede, çokuluslu çörek şirketi, ‘sahtekarlık ve fidye yazılımlarının perakendecileri, misafirperverliği ve seyahat işletmelerini en yoğun Noel tatili sezonunda tehdit etmesi beklenen bir uyarıdan haftalar sonra gelen bir saldırıyı hedef aldı.
‘Play’ adıyla bir fidye yazılımı grubu sorumluluk iddia etti ve bordro, kişiler, vergiler, kimlikler ve çok daha fazlası dahil olmak üzere kişisel olarak tanımlanabilir bilgiler (PII) verilerini çaldıklarını açıkladı.
Ortak bir danışmanlıkta, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Avustralya Siber Güvenlik Merkezi (ACSC), bu özel fidye yazılım grubunun dünyanın dört bir yanındaki yaklaşık 300 kuruluşun ağlarını ihlal ettiğini açıkladı.
Birçok başarılı veri ihlalinin nedeni nadiren duyurulurken, Intigriti’deki ekip sektör genelinde ortak bir saldırı vektörü fark ediyor.
Siteler Arası Komut Dosyası (XSS), Hedefin tarayıcısındaki eylemleri yürütmek için kötü aktörlerin bir siteye kötü amaçlı komut dosyaları enjekte ettiği bir web uygulaması güvenlik açığıdır. Amaç, bilgi çalmak, içeriği değiştirmek veya kullanıcıyı kötü amaçlı sitelere yönlendirmektir. Sonuç, bilgi açıklama ve hesap kontrolü sorunlarını içerir.
Gerçek hayattaki bir kullanım durumundaIntigriti Bug-Gounty soruşturması, bir müşterinin web sitesinin bir bölümünde, bir rol sisteminin bir kullanıcının ayrıcalıklarını belirlediği depolanmış bir XSS keşfetti. Bu güvenlik açığından yararlanmak, düşük privilged kullanıcı olarak sayfaya bir yük enjekte ederek, daha yüksek ayrıcalıklı bir hesap sayfayı ziyaret ettikten ve yükü yürüttükten sonra kullanıcının ek ayrıcalıklar kazanmasına yol açabilir.
‘Bazen, bir uygulama muhtemelen olmaması gereken bilgileri ortaya çıkarır. Genellikle bu bilgi özellikle heyecan verici değildir; Bununla birlikte, diğer zamanlarda etki oldukça şiddetli olabilir.
Bu uygulama bir JavaScript dosyasının içindeki bir API anahtarı sızdırdı. API tuşu, uygulamanın kimlik doğrulama hizmeti hakkındaki hassas bilgileri çıkarmak için kullanılabilir.
Doğru erişim haklarının varlıklara yapılandırılması zor olabilir. Bu durumda gözlemlenen bu hata, yanlış yapılandırılmış bir S3 kova ile ilgilidir. Kova, bir üretim uygulamasının arayüzü için dosyalar sundu. Bu erişim kontrolü yanlış yapılandırması nedeniyle, saldırgan kovanın tam kontrolünü kazanabilir ve bu uygulamada meşru kullanıcıların gördüklerini potansiyel olarak değiştirebilir. ‘
– Lennaert Oudshorn, Triyaj Başkanı, Intigriti
Takımınızı eğitin. Çalışanları ve geliştiricileri güvenlik eğitimi ve testleri konusunda eğitin. Şirketler, siber tehditleri tespit etmek ve önlemek için doğru uygulamaları sürdürmeli ve penetrasyon testi ve güvenlik denetimleri gibi düzenli olarak testler yapmalıdır.
Güncelleme Sistemleri. Güvenlik açıklarını önlemek için sistemler, çerçeveler ve kütüphaneler düzenli olarak güncellenmelidir.
Müşterileri koruyun. Çok faktörlü kimlik doğrulama (MFA) gibi öğelerin kötü niyetli etkinliklere ve yetkisiz erişime karşı anında başka bir katman sağlaması için etkin olduğundan emin olun.
Saldırı Yüzeyi Azaltma. Harici komut dosyalarını kullanarak ve güvenli bir şekilde bağlayarak saldırı yüzeyini azaltın. Satır içi JavaScript veya olay işleyicileri kullanmaktan kaçının. Hangi komut dosyalarının çalıştırılabileceğini kısıtlamak için bir İçerik Güvenliği Politikası’nın (CSP) bulunduğundan emin olun.
Verileri sterilize edin ve doğrulayın. Giriş verilerini kontrol edin ve kötü amaçlı kod yürütülmesini önlemek için içerik türüne göre uygun çıktı kodlamasını sağlayın.
Perakende şirketinizi hedefleyen siber tehditlerin nasıl tespit edileceği ve durdurulacağı hakkında daha fazla bilgi için, bir uzmanla konuşmak için ekiple iletişime geçin.