Trop d’administrateurs de boutiques en ligne conservent des sauvegardes personnelles dans des dossiers publics et exposent les mots de passe des bases de données, les secrets des API secrètes, les URL des administrateurs et les informations des clients à des ennemis qui savent où chercher.
« Des secrets exposés ont été utilisés pour prendre le contrôle de magasins, obtenir des marchands et entraver les paiements des consommateurs », déclarent les scientifiques des menaces de Sansec.
Recherche de sauvegardes exposées
Les scientifiques ont a analysé 2037 boutiques en ligne de différentes tailles et fonctionnant sur de nombreuses plateformes de commerce électronique et a découvert que 250 d’entre elles (12 %) enregistraient des fichiers d’archives dans le dossier Web public, accessible à tous.
« Nous avons travaillé avec quelques-uns de nos plus grands partenaires d’hébergement, donc je pense que l’échantillon est représentatif de la population mondiale », a déclaré Willem de Groot, fondateur de Sansec, à Assistance Net Security.
« En plus de la recherche de fichiers de sauvegarde (sql/zip/ tar), nous avons évalué si les fichiers étaient effectivement proposés sur le Web. Nous avons utilisé HTTP HEAD le demande, afin que nous puissions déterminer la taille réelle du fichier sans télécharger les archives de sauvegarde. »
Malheureusement, les cybercriminels peuvent faire exactement la même chose, et ils le font.
« Nous avons observé des attaques automatisées contre des boutiques en ligne, où d’innombrables noms de sauvegarde possibles sont tentés pendant plusieurs semaines. L’attaque comprend des permutations intelligentes basées sur le nom du site et les informations DNS publiques, telles que /db/staging-SITENAME. zip », ont décrit les scientifiques.
« Parce que ces sondes sont vraiment peu coûteuses à exécuter et n’affectent pas les performances du magasin cible, elles peuvent fonctionner en permanence jusqu’à ce qu’une sauvegarde soit découverte. Sansec a découvert plusieurs schémas d’attaque à partir de dizaines d’adresses IP sources, recommandant à de nombreuses stars de travailler pour exploiter cette vulnérabilité. »
Que faire ?
Que ce soit par erreur, par inattention ou simplement un manque de connaissances, certaines sauvegardes peuvent se retrouver dans des dossiers publics, et les administrateurs de la boutique en ligne feraient bien de vérifier si elles font partie de ce chiffre.
Si des sauvegardes ont été exposées, les fichiers journaux du serveur Web peuvent révéler si S’ils l’ont été, les administrateurs doivent immédiatement vérifier les comptes d’administrateur non autorisés, modifier les mots de passe (administrateur, compte SSH/FTP, base de données) et rechercher les plugins de vol de données, les logiciels malveillants injectés ou les scripts d’écrémage Web.
Dans les comptes de base, les comptes essentiels doivent avoir une authentification multifacteur activée et les panneaux d’administration de base de données à distance ne doivent pas être exposés au Web.
Il existe également des méthodes pour s’assurer d’éviter d’exposer les sauvegardes dans l’avenir, et ils incluent des actions telles que la configuration de son serveur Web pour limiter l’accès aux fichiers d’archive et planifier des sauvegardes fréquentes afin d’éviter autant que possible les sauvegardes ad hoc.
Toute l’actualité en temps réel, est sur L’Entrepreneur
