Se observaron fallas en los procesos de negocios que presentan riesgos de seguridad

La ejecución de un sitio web seguro implica mucho más que protegerse contra los scripts de sitios cruzados y los ataques de inyección SQL. Los defectos en los procesos comerciales que subyacen a los sitios web también pueden presentar serios riesgos de seguridad, dijo el jueves el CTO de una compañía de seguridad web. Los defectos en los procesos o lógica comercial para sitios web pueden resultar altamente rentables para los piratas informáticos, requieren poco habilidad para explotar y que a veces técnicamente no es ilegal aprovechar, dijo Jeremiah Grossman, CTO de WhiteHat Security, en Source Boston Security Showcase.

"Estos problemas son comunes si sabes qué buscar", dijo.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Ofreció varios ejemplos de estos defectos, incluidos los que se encuentran en los diseños de sitios web, los sistemas de autenticación Captcha y los privilegios del usuario. Las personas que se aprovechan de ellos a menudo simplemente tienen prohibido el uso de un servicio, aunque a veces son procesados.

En 2007, una mujer fue acusada de estafar a QVC de $ 412,000 al explotar un error en su lógica comercial. Hizo pedidos de 1.800 artículos con la red de compras a domicilio y luego canceló los pedidos en su sitio web. Ella recibió crédito por devolver la mercancía, pero los artículos fueron enviados de todos modos y ella los vendió en eBay, dijo el Departamento de Justicia. QVC tomó conocimiento del asunto cuando los usuarios de eBay se pusieron en contacto con él para recibir los artículos que aún estaban en su empaque. Finalmente, la mujer se declaró culpable de fraude electrónico.

Las funciones de restablecimiento de contraseña pueden llevar a un acceso no autorizado a la cuenta si hacen preguntas obvias y los hackers tienen información menor sobre sus víctimas. Grossman ofreció un ejemplo que involucraba al ex proveedor de servicios móviles Sprint. Para restablecer sus contraseñas, dijo, un hacker necesitaba saber solo el número de teléfono móvil de una persona y una información básica, como dónde vivían o el automóvil que conducían. Esto podría haber permitido que un pirata informático solicite nuevos teléfonos a nombre de la víctima o instale nuevos servicios en su teléfono.

Los cupones electrónicos representan un riesgo para los comerciantes si los números de los cupones se encuentran uno cerca del otro secuencialmente. Un minorista vio que algunos de sus artículos de alto precio se vendían por unos pocos dólares luego de que un hacker escribiera un guión para descubrir números de cupones que diferían en unos pocos dígitos, dijo Grossman. El minorista descubrió el problema cuando los registros de su sistema descubrieron una gran cantidad de pedidos procesados ​​por la noche mientras se ejecutaba el script del hacker.

Los hackers pueden persuadir a otros navegantes para que los resuelvan mediante sitios web con la promesa de obtenerlos gratis. música o contenido para adultos. Las captchas requieren que una persona descifre una serie de caracteres desordenados para suscribirse a servicios como una cuenta de correo electrónico web. Los internautas resuelven los Captchas, que se envían a través del servidor proxy al pirata informático, quien los utiliza para suscribirse a múltiples cuentas de correo electrónico para enviar spam o alguna otra actividad.

"Siempre y cuando haya suficientes usuarios viniendo a su sitio web, tiene el Captcha resuelto ", dijo Grossman. "Los malos quieren derrotar a estos Captchas para que puedan enviarnos correo no deseado."

Otro error es otorgar a los usuarios acceso a todas las partes de un sitio web cuando tienen un nombre de usuario o contraseña para un servicio en particular. Por ejemplo, los empleados de una empresa estonia se inscribieron en el servicio de publicación de prensa de Business Wire en 2004. Se dio cuenta de que las URL en el sitio a veces contenían información sobre comunicados de prensa que aún no se habían hecho públicos. Utilizando un programa que busca direcciones URL, los empleados de la empresa pudieron descubrir información comercial y financiera sensible. Después de comprar y vender acciones basadas en esta información, los empleados ganaron $ 7.8 millones, pero también fueron acusados ​​de fraude por los reguladores de los Estados Unidos.

Notó que es probable que haya habido muchos casos similares que nunca salieron a la luz porque los perpetradores nunca atrapado.

La seguridad web se extiende más allá de la garantía de calidad y el diseño adecuado de aplicaciones web para incluir cómo se configuran los servicios para operar, dijo.