субота, 22 жовтня 2016 р.

Клієнти українських онлайн-магазинів, що використовують LiqPay, можуть не турбуватися про безпеку


Клієнти українських онлайн-магазинів, що використовують платіжний шлюз LiqPay, можуть не турбуватися про безпеку даних платіжних карток, повідомляє AIN. За даними видання, мерчанти, що користуються LiqPay, не мають уразливості, виявленої в платформі Magento голландським розробником Віллемом Де Гроотом.

Як зазначили розробники LiqPay, створеного командою «Центру електронного бізнесу» ПриватБанку, згідно з даними, опублікованими главою безпеки голландського еcommerce-сайта byte.nl, CMS Magento та інші подібні системи мали вразливість, що дозволила модифікувати вихідний код сторінки та підключити туди вірусний скрипт. У LiqPay немає CMS, система завантажує статичні файли відразу з Amazon S3. 
​​
HTTPS-шифрування в LiqPay дозволяє уникнути загрози перехоплення шахраями незашифрованого трафіку, а жорсткий контроль за відсутністю XSS-вразливостей апріорі не дозволяє впровадити на час сесії вірусний скрипт на сторінку користувача.
Як зазначають розробники платформи LiqPay, навіть якщо припустити, що все-таки шахраям вдасться обійти одну із цих захисних перепон, все одно у них не вийде вживити та виконати свій скрипт на сторінці системи, так LiqPay використовує на сервері спеціальні header, які забороняють завантажувати, виконувати скрипти та передавати дані на будь-які домени, що не зазначено в «білому» списку.
Нагадаємо, співзасновник і голова безпеки голландського еcommerce-сайта byte.nl Віллем Де Гроот з 2015 року почав виявляти сайти, програмні закладки яких на сервері магазинів перехоплюють дані платіжних карток у момент їх введення користувачем у текстове поле в браузері. Шкідливим кодом було заражено 5 925 онлайн-магазинів по всьому світі, з яких 67 онлайн-магазинів у доменній зоні UA. За словами голландського фахівця з безпеки, деякі з украдених даних передавалися на сервери в Росії. Потім викрадені дані продавалися в даркнеті по $30 за картку.

Немає коментарів:

Дописати коментар