Клієнти українських онлайн-магазинів, що використовують LiqPay, можуть не турбуватися про безпеку
Клієнти українських онлайн-магазинів, що використовують платіжний шлюз LiqPay, можуть не турбуватися про безпеку даних платіжних карток, повідомляє AIN. За даними видання, мерчанти, що користуються LiqPay, не мають уразливості, виявленої в платформі Magento голландським розробником Віллемом Де Гроотом.
Клієнти українських онлайн-магазинів, що використовують платіжний шлюз LiqPay, можуть не турбуватися про безпеку даних платіжних карток, повідомляє AIN. За даними видання, мерчанти, що користуються LiqPay, не мають уразливості, виявленої в платформі Magento голландським розробником Віллемом Де Гроотом.
Як зазначили
розробники LiqPay, створеного командою «Центру електронного бізнесу»
ПриватБанку, згідно з даними, опублікованими главою безпеки
голландського еcommerce-сайта byte.nl,
CMS Magento та інші подібні системи мали вразливість, що дозволила
модифікувати вихідний код сторінки та підключити туди вірусний скрипт. У
LiqPay немає CMS, система завантажує статичні файли відразу з Amazon
S3.
HTTPS-шифрування в LiqPay дозволяє уникнути загрози перехоплення
шахраями незашифрованого трафіку, а жорсткий контроль за відсутністю
XSS-вразливостей апріорі не дозволяє впровадити на час сесії вірусний
скрипт на сторінку користувача.
Як зазначають розробники платформи LiqPay,
навіть якщо припустити, що все-таки шахраям вдасться обійти одну із цих
захисних перепон, все одно у них не вийде вживити та виконати свій
скрипт на сторінці системи, так LiqPay використовує на сервері
спеціальні header, які забороняють завантажувати, виконувати скрипти та
передавати дані на будь-які домени, що не зазначено в «білому» списку.
Нагадаємо, співзасновник і голова безпеки голландського еcommerce-сайта byte.nl
Віллем Де Гроот з 2015 року почав виявляти сайти, програмні закладки
яких на сервері магазинів перехоплюють дані платіжних карток у момент їх
введення користувачем у текстове поле в браузері. Шкідливим кодом було
заражено 5 925 онлайн-магазинів по всьому світі, з яких 67
онлайн-магазинів у доменній зоні UA. За словами голландського фахівця з
безпеки, деякі з украдених даних передавалися на сервери в Росії. Потім
викрадені дані продавалися в даркнеті по $30 за картку.
Немає коментарів:
Дописати коментар