行業新聞與部落格

CyCognito 的最新研究表明，由於電子商務網路應用程式中存在重大安全漏洞，數百萬線上購物者的個人身份資訊 (PII) 可能面臨風險。

該研究已在 2023 年黑色星期五和網路星期一之前釋出，屆時數百萬消費者將湧向電子商務網站尋找購物優惠。大多數此類網站都會在此過程中儲存地址和信用卡詳細資訊等 PII。

研究人員警告說，這些網站中很大一部分缺乏基本的安全協議，並且包含可利用的漏洞。

CyCognito 在 2023 年 9 月分析其全球客戶群時發現，超過四分之一 (28%) 的電子商務 Web 應用程式缺乏 Web 應用程式防火牆 (WAF)，其中 24% 的應用程式收集 PII。

此外，其中 2% 的應用程式仍然缺乏 HTTPS，這是一種使用加密技術透過計算機網路進行安全通訊的網際網路協議。全球有超過 2600 萬家電子商務商店，如果複製這一數字，可能會影響 520,000 個網站。

研究稱，總共 58% 的電子商務網路應用程式收集使用者 PII。

研究人員還透露，78% 的電子商務網路應用程式未能要求使用者同意 cookie，這可能導致它們違反 GDPR 等資料隱私法規。

電子商務網站中的可利用漏洞

近一半 (48%) 受監控的 Web 應用程式存在一個或多個加密漏洞，而大約三分之一 (31%) 至少存在一個易於利用的問題。

研究人員還發現，2% 的應用程式至少存在一個嚴重的安全問題，其中一半的應用程式持有 PII。在這些關鍵問題中，76% 很容易被利用。

此外，7% 的電子商務 Web 應用程式至少存在 OWASP 十大安全問題列表中的一個安全問題。

13% 的受監控應用程式中發現了憑證有效性問題，這可能使伺服器的身份不再受信任。

研究人員寫道：“網路星期一充滿了緊迫性——對購物者來說，獲得優惠的緊迫性，以及零售商利用一年中最大的電子商務日的緊迫性。

“網路犯罪分子利用這種緊迫性來利用錯誤配置和漏洞，這可能會在此過程中對粗心的組織造成巨大的聲譽損害。”

零售商如何提高線上安全性

CyCognito 向零售商提供了以下建議，以增強其電子商務應用程式的安全性：

• 檢查“容易實現的目標”，例如丟失的 WAF 或過期的憑證，這些可能是更嚴重的安全問題的指標
• 優先考慮持續測試，讓您的安全團隊有時間識別和修復可能導致 PII 被盜的嚴重漏洞
• 檢查您是否遵守相關的網路安全和資料隱私法規，例如 PCI DSS 和 GDPR