Wereldwijde retailer overschrijdt CSRF -tokens met Facebook

Cyberbeveiliging
Wereldwijde retailer overschrijdt CSRF -tokens met Facebook

Zijn uw beveiligingstokens echt veilig?

Onderzoek hoe reflectiz een gigantische retailer heeft geholpen om een ​​Facebook -pixel bloot te leggen die heimelijk gevoelige CSRF -tokens volgde vanwege misconfiguraties van menselijke fouten. Meer informatie over het detectieproces, responsstrategieën en stappen die zijn genomen om dit kritieke probleem te verminderen. Download hier de volledige case study.

Door de aanbevelingen van Reflectiz te implementeren, vermeed de retailer het volgende:

  • Potentiële AVG -boetes (tot € 20 miljoen of 4% van de omzet)
  • $ 3,9 miljoen datalek kosten (gemiddeld)
  • 5% klantenkijker

Invoering

Je weet misschien niet veel over CSRF -tokens, maar als een online retailer moet je genoeg weten om een ​​toevallige overschrijving van hen door de Facebook -pixel te voorkomen. Dit verkeerd doen kan enorme boetes betekenen van regelgevers voor gegevensbescherming, dus het doel van dit artikel is om u een kort overzicht van het probleem te geven en de beste manier uit te leggen om uw bedrijf ertegen te beschermen.

U kunt deze sleutelkwestie groter onderzoeken door onze gratis nieuwe case study over dit onderwerp te downloaden (vanaf hier). Het doorloopt een real-world voorbeeld van wanneer dit overkwam met een wereldwijde online kleding- en lifestyle-retailer. Het verklaart het probleem waarmee ze meer gedetailleerd werden geconfronteerd, maar dit artikel is een hapklare overzicht van de dreiging om u op de hoogte te brengen.

Laten we een dieper bekijken hoe dit probleem zich ontvouwde en waarom het belangrijk is voor online beveiliging.

Wat is er gebeurd en waarom het ertoe doet

Kortom, een oplossing voor het monitoren van webbedreigingen genaamd Reflectiz ontdekte een gegevenslek in de systemen van de retailer die anderen niet deden: de Facebook -pixel overschreed een beveiligingstechnologie genaamd CSRF -tokens die het had moeten houden onder wikkels.

CSRF -tokens werden uitgevonden om CSRF te stoppen, dat staat voor Cross-site verzoek vervalsing. Het is een soort cyberaanval waarbij een webtoepassing wordt misleid om bepaalde acties uit te voeren door te overtuigen dat ze van een geverifieerde gebruiker kwamen.

In wezen benadrukt het het vertrouwen dat de webtoepassing heeft in de browser van de gebruiker.

Hier is hoe het werkt:

  • Het slachtoffer is ingelogd op een vertrouwde website (bijvoorbeeld hun online bankieren).
  • De aanvaller creëert een kwaadwillende link of script en misleidt het slachtoffer om erop te klikken (dit kan gebeuren via e -mail, sociale media of een andere website).
  • De kwaadaardige link stuurt een verzoek naar de vertrouwde website. Omdat het slachtoffer al is geverifieerd, bevat hun browser automatisch hun sessiekoekjes of inloggegevens, waardoor het verzoek legitiem lijkt voor de webtoepassing.
  • Als gevolg hiervan zal de webtoepassing de actie uitvoeren in het kwaadaardige verzoek van de aanvaller, zoals het overbrengen van fondsen of het wijzigen van accountgegevens, zonder toestemming van het slachtoffer.

(Merk op dat dit geen kwaadwillende activiteitengebeurtenis is. Alle ‘blokkers’ die het verkeer voor kwaadaardige scripts controleren, zouden geen problemen detecteren.)

Ontwikkelaars kunnen verschillende tools gebruiken om dit gebeurt, en een daarvan is CSRF -tokens. Ze zorgen ervoor dat geverifieerde gebruikers alleen de acties uitvoeren die ze van plan zijn, niet degenen die door aanvallers worden gevraagd.

ReflectiZ adviseerde het opslaan van CSRF-tokens in httponly-cookies, die voorkomt dat scripts van derden, zoals Facebook Pixel, toegang hebben.

Het probleem van de verkeerde configuratie

In het voorbeeld van case study (dat u hier kunt vinden) was de Facebook -pixel van de retailer per ongeluk verkeerd geconfigureerd. De verkeerd geconfiguratie stond de pixel toe om onbedoeld toegang te krijgen tot CSRF -tokens – kritieke beveiligingselementen die ongeautoriseerde acties voorkomen namens geverifieerde gebruikers. Deze tokens werden blootgesteld, waardoor een ernstige kwetsbaarheid van de beveiliging ontstond. Deze inbreuk riskeerde meerdere beveiligingsproblemen, waaronder potentiële gegevenslekken en ongeautoriseerde acties namens gebruikers.

Zoals veel online retailers, zal uw website waarschijnlijk de Facebook -pixel gebruiken om bezoekersactiviteiten bij te houden om zijn Facebook -advertenties te optimaliseren, maar het zou alleen de informatie die het vereist voor dat doel moet verzamelen en delen, en dit zou alleen moeten zijn na het verkrijgen van de juiste gebruikersrechten. Aangezien CSRF -tokens nooit met een derde partij mogen worden gedeeld, is dat onmogelijk!

Dit is hoe de technologie van reflectiz werkt om dergelijke kwetsbaarheden te ontdekken voordat ze ernstige beveiligingsrisico’s worden.

De oplossing

Reflectiz’s geautomatiseerde beveiligingsplatform werd gebruikt om de webomgeving van de retailer te controleren. Tijdens een routine -scan identificeerde reflectiz een afwijking met de Facebook -pixel. Het bleek onjuist te communiceren met de pagina, toegang tot CSRF -tokens en andere gevoelige gegevens. Door continue monitoring en diepe gedragsanalyse, gedetecteerde reflectiz deze ongeautoriseerde gegevensoverdracht binnen uren na de inbreuk gedetecteerd. Dit was een beetje zoals het delen van de sleutels tot hun huis of het wachtwoord voor hun bankrekening. Het zijn acties die anderen in de toekomst kunnen exploiteren.

Reflectiz handelde snel en gaf een gedetailleerd rapport aan de retailer. Het rapport schetste de verkeerde configuratie en aanbevolen onmiddellijke acties, zoals configuratiewijzigingen in Facebook Pixel -code, om te voorkomen dat de pixel toegang heeft tot gevoelige gegevens.

Regelgevers voor gegevensbescherming hebben een vaag beeld van uw bedrijf, zelfs als het dit soort beperkte informatie per ongeluk overschrijdt met ongeautoriseerde derden, en boetes kunnen gemakkelijk miljoenen dollars tegenkomen. Dat is de reden waarom de 10 tot 11 minuten die u nodig heeft om de volledige case study te lezen, de beste tijdinvestering kan zijn die u het hele jaar door doet.

Volgende stappen

Reflectiz’s aanbevelingen stopten niet alleen met onmiddellijke oplossingen; Ze legden de basis voor voortdurende beveiligingsverbeteringen en langetermijnbescherming. Hier is hoe u uw bedrijf kunt beschermen tegen soortgelijke risico’s:

  1. Regelmatige beveiligingsaudits:
    • Continue monitoring: implementeer een systeem van continue monitoring om alle scripts van derden en hun gedrag op uw website te volgen. Dit zal u helpen potentiële kwetsbaarheden en verkeerde configuraties in realtime te detecteren, waardoor beveiligingsrisico’s worden voorkomen voordat ze escaleren.
    • Periodieke beveiligingsaudits: plan reguliere audits om ervoor te zorgen dat alle beveiligingsmaatregelen up -to -date zijn. Dit omvat het controleren op kwetsbaarheden in uw integraties van derden en het waarborgen van de naleving van de nieuwste beveiligingsstandaarden en best practices.
  2. Scriptbeheer van derden:
    • Evalueer en controle van scripts van derden: bekijk alle scripts van derden op uw website, zoals het volgen van pixels en analysetools. Beperk de toegang die deze scripts hebben tot gevoelige gegevens en zorg ervoor dat ze alleen de gegevens ontvangen die nodig zijn voor hun functie.
    • Gebruik vertrouwde partners: werk alleen met externe leveranciers die voldoen aan strenge beveiligings- en privacystandaarden. Zorg ervoor dat hun beveiligingspraktijken overeenkomen met de behoeften van uw bedrijf om ongeoorloofde gegevensuitwisseling te voorkomen.
  3. CSRF -tokenbescherming:
    • Httponly-cookies: volg de aanbeveling van reflectiz om CSRF-tokens op te slaan in HTTPonly-cookies, die voorkomt dat JavaScript (inclusief scripts van derden) toegang heeft. Dit is een belangrijke maatregel bij het beschermen van tokens tegen ongeautoriseerde toegang door externe leveranciers.
    • Handhaaf beveiligde cookie-attributen: zorg ervoor dat alle CSRF-tokens worden opgeslagen met beveiligde en samesite = strikte attributen om ze te beschermen tegen verzending van cross-origin-aanvragen en het risico van blootstelling door kwaadaardige scripts van derden te verminderen.
  4. Privacy by Design:
    • Integreer privacy in uw ontwikkelingsproces: als onderdeel van uw ontwikkelings- en implementatieprocessen, een privacy aan de ontwerpbenadering hanteren. Zorg ervoor dat privacyoverwegingen voorop staan, van de manier waarop gegevens worden opgeslagen tot de manier waarop scripts van derden met uw site omgaan.
    • Gebruikersstemmingsbeheer: werk uw gegevensverzamelingspraktijken regelmatig bij en zorg ervoor dat gebruikers controle hebben over welke gegevens ze delen. Verkrijg altijd duidelijke, geïnformeerde toestemming voordat u gevoelige gegevens met derden deelt.
  5. Leer je team op:
    • Beveiligingsopleiding: zorg ervoor dat uw ontwikkelings- en beveiligingsteams goed zijn opgeleid in de nieuwste beveiligingsprotocollen, met name gerelateerd aan gegevensprivacy en CSRF-bescherming. Bewustzijn en begrip van beveiligingsrisico’s zijn de eerste stappen om dit soort problemen te voorkomen.
    • Samenwerking tussen afdeling: zorg ervoor dat marketing- en beveiligingsteams zijn afgestemd, vooral bij het gebruik van tools van derden zoals de Facebook Pixel. Beide teams moeten samenwerken om ervoor te zorgen dat beveiligings- en privacyproblemen worden overwogen bij het implementeren van dergelijke tools.
  6. Een nul-trustelbenadering aannemen:
    • Zero-Trust beveiligingsmodel: overweeg om een ​​nul-trustbenadering van beveiliging te gebruiken. Dit model gaat ervan uit dat alle gebruikers, zowel binnen als buiten het netwerk, niet zijn vertrouwd en elk verzoek verifieert voordat ze toegang verlenen. Door deze filosofie toe te passen op gegevensuitwisselingen tussen uw site en services van derden, kunt u de blootstelling aan risico’s minimaliseren.

Door deze volgende stappen te implementeren, kunt u uw beveiligingshouding proactief versterken, uw gevoelige gegevens beschermen en in de toekomst vergelijkbare problemen voorkomen. Reflectiz’s inzichten bieden de routekaart om een ​​meer veerkrachtige en veilige webomgeving te bouwen. Het beschermen van uw bedrijf tegen opkomende bedreigingen is een voortdurende inspanning, maar met de juiste processen en hulpmiddelen kunt u ervoor zorgen dat uw systemen veilig en conform blijven.

Download hier de volledige case study.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Pixel 9A wordt geleverd met een nieuwe functie ‘Battery Health Assistance’

Tiktok deal wordt gesloten vóór de deadline van 5 april

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]